我刚开始使用 wcf 服务构建一个 Web 应用程序来使用我的服务。我基于该令牌制作了该令牌,我在每个请求中传递令牌,然后在来自数据库的每个请求中检查该令牌是否有效。我认为每次都向 db 发送额外的请求是不好的。那么,这是否可以在用户第一次登录或首次发出服务请求时对用户进行身份验证,之后直到会话保持我的所有请求都使用令牌?
我在谷歌上搜索,但每个人都在告诉如何使用服务进行身份验证。
【问题讨论】:
标签: asp.net wcf webforms restful-authentication
不是您生成并需要在数据库中检查的随机字符串,而是像许多身份验证模块一样围绕加密和/或签名制作您的令牌。
换句话说,根据用户/应用程序名称、发布日期和/或到期日期构建一个令牌,对其进行加密,您就拥有一个独立的令牌,不需要任何数据库查找来验证。
为了方便加密,可以使用MachineKey
http://msdn.microsoft.com/en-us/library/system.web.security.machinekey%28v=vs.110%29.aspx
附注 - 这是表单身份验证/会话身份验证模块的工作方式。您有携带身份验证信息的 cookie(令牌)。您可以考虑切换到这些。
编辑:您询问的示例:
// create token
string username = "foo";
string token = Convert.ToBase64String( MachineKey.Protect(
Encoding.UTF8.GetBytes( username ) ) );
// get username out of token
string token = ....;
string username = Encoding.UTF8.GetString( MachineKey.Unprotect(
Convert.FromBase64String( token ) ) );
【讨论】:
在每个请求上使用数据库检查 Auth 令牌可能是个坏主意。通常用作令牌的是当前用户主体本身,但已序列化和加密。 登录时生成令牌并返回给客户端。然后在每个请求中,您将令牌传递给服务,这使您有机会反序列化它并填充您的 System.Threading.Thread.CurrentPrincipal 而无需往返数据库。
查看这些 SO 答案以获得更多见解
【讨论】: