N 层应用程序身份验证（RabbitMQ 作为代理，C# 作为业务层）- WIF 可能吗？

Question

我目前正在开发一个使用 C# 作为业务层的 N 层应用程序。这是一种 ERP，我需要对此应用程序进行身份验证（电子邮件/密码）。 我还需要基于登录的权限（创建订单，删除文章） 所有这些信息都应该存储在一个数据库中。

作为 UI 客户端，我计划制作 WPF 客户端、ASP.Net 以及未来的 iPhone/Android。 作为消息代理，我使用 RabbitMQ（客户端仅通过 AMQP 与业务层对话。由于优势，我有多个业务层用于循环调度）。

在我对 N 层应用程序中的身份验证进行的研究中，我发现了一个针对 Windows Identity Foundation 的建议。 WIF 对我来说是全新的。我发现的所有示例都只处理 ASP.Net 应用程序。

我现在的问题是： WIF 对我来说是正确的还是我应该自己实现这个会话处理？

如果 WIF 可以满足我的需求，那么处理这个问题的最佳方法是什么？ 我是否必须实现自定义 STS 并将其放置在 WCF 服务中？

Answer 1

当您明确提到 RabbitMq 时，我建议使用 ServiceStack 作为您的服务接口。

MQ 的一个一般问题是它们与任何元信息（例如 HTTP 标头）分离以注入身份验证。相反，您应该在消息中提供属性Session（带有预身份验证）或UserName 和Password（不首选后者，因为凭据以明文形式传递）。 ServiceStack 内置SessionFeature 的示例解决方案可在in their documentation 获得。

ServiceStack 的另一个不错的特性是，您不仅可以使用AuthenticateAttribute 装饰您的处理程序，还可以使用RequiredRoleAttribute 和RequiredPermissionAttribute。

另外：您打算如何使用 Android 将消息排队？您能否将内部 MQ 暴露给外部，是否有可用于例如 Android 的客户端？因此，我建议使用 HTTP 上的双端点在您选择使用的任何 MQ 中对消息进行排队。有关如何在 HTTP 服务中集成 MQ 的更多信息，请访问 in the documentation。

使用 ServiceStack，您可以旋转任意数量的消费者实例，is a plain communication without all the serivce stuff available。

琐事：当我正在撰写一本即将出版的关于Mastering ServiceStack的书时，我有点偏颇。尽管如此，我确实在书中涵盖了您的大部分问题，并提供了代码示例：您的场景的点点滴滴are already covered here（不要被特定的 MQ 吓到，它们是可以互换的）。