WCF,RESTful Web服务和自定义身份验证

当我正在调查如何为自己的WCF RESTful服务实现安全性时，我花了一些时间来研究其他流行的服务，如flickr和amazon如何实现自己的安全性 – 假设他们可能花费更多的时间来思考它。 Flickr的 documentation特别帮助我形成了我的签名和请求。

最后，我为我的服务选择了一个HMAC(基于哈希的消息认证代码)认证方案。

我创建了一个自定义的HMAC ServiceAuthorizationManager来验证每个请求的签名，每个请求包含以下内容：

>用户令牌
>时间戳
>随机数
>签名

使用该信息，管理员可以从其令牌中查找用户的秘密，并可以使用提供的信息在服务器上重新创建签名。

我的签名由以下MD5哈希值组成(值按特定顺序连接在一起，并进行散列，从而可以在服务器上重复该值)：

apikey
> userToken
>秘密
>时间戳
>随机数

我在短时间内将该内存存储在一个memcache实例中，以便快速检查任何重播攻击。在这段时间偏差(约10分钟)之后，时间戳用于拒绝任何其他旧请求。

如果有帮助，我可以发布我的代码片段。一般来说，我发现HMAC身份验证通常是最安全的方式，并且在任何将使用您的服务的客户端(而不仅仅是.NET)上都可轻松支持。