如何使用AJAX调用WCF服务时对用户进行身份验证？

您可以采取许多措施来保护您的WCF服务.可能最简单的方法是,如果您的服务已经是现有整体ASP.NET应用程序的一部分,那么就是为您的服务启用ASP.NET兼容模式.如果您的ASP.NET应用程序使用身份验证来验证用户(例如表单身份验证),并且您通过会话cookie启用它,那么ASP.NET兼容模式可以帮助您完成大部分工作.

默认情况下,这是禁用的,但您可以通过添加web.config来启用它：

<system.serviceModel>
        ...
        <serviceHostingEnvironment aspNetCompatibilityEnabled="true" />
        ...
</system.serviceModel>

这将为您的应用程序中的所有服务启用兼容模式.您还可以通过设置web.config值并使用服务类上的AspNetCompatibilityRequirements属性而不是接口来逐个服务地启用此服务：

[AspNetCompatibilityRequirements(RequirementsMode = AspNetCompatibilityRequirementsMode.Required)]
public class FooService: IFooService {
}

启用此设置后,您可以访问HttpContext.Current(如ASP.NET页面),并且还会强制在访问.svc文件之前必须对用户进行身份验证(就像在访问任何文件之前必须进行身份验证一样). aspx文件).如果您尝试在未经过身份验证的情况下访问.svc文件,并且您正在使用表单身份验证,则调用方将被重定向到默认登录页面,并且在成功进行身份验证后,将重定向到.svc文件.

这个建议做了一些假设：

>您的服务在ASP.NET应用程序中;
>您正在使用某种类型的ASP.NET身份验证(如表单身份验证)来验证用户的凭据并在cookie中保留验证票证;

这个建议虽然可能不是最安全或最强大的,但可能是最简单的,至少可以在合理的程度上启动和运行并保护您的网站.

这是ASP.NET兼容模式下的一个很好的MSDN library intro article.

如果这样做,也许下一步是研究HMAC认证(这涉及更多的工作和秘密密钥的协调 – 但它肯定更安全恕我直言).这是实施它的一个很好的步骤 – http://blogs.microsoft.co.il/blogs/itai/archive/2009/02/22/how-to-implement-hmac-authentication-on-a-restful-wcf-service.aspx

我希望这有帮助.祝好运！！