我已经搜索了帖子,但没有找到与我的问题相关的确切内容。例如安全。。。通过AD问更多的问题是明智的吗?我的问题是:
我们正在实现WCF应用程序,现在我们正在将WCF。。。我指的是ASP.NET Web Api;)进入我们的服务器堆栈。我想通过要求用户登录ADS来保护服务,但如果他们已经登录(通过网络登录或其他方式),那么我不会请求登录。然后在服务中进行基于角色的授权。
我找不到关于我如何通过未来所有端点(平板电脑和手机)处理ADS授权的好的讨论或例子。
我的一个想法是,用户登录ADS,然后令牌就变成了安全和权限的处理对象。所以现在我有点担心需要做多少编码才能实现这一点。我们正在研究FederatedServices在WCF中处理这一问题,但在这个脆弱的API中没有这样的控制。
所以我对任何意见都感兴趣,或者指导我写一篇关于这方面的好文章。到目前为止,我看到的只是我们的旧服务器拥有的自卷安全性,我不想再出现这种垃圾了。
哦,是的,我有没有提到我们的目标是在整个网络服务中实现单一登录??:)
最好的起点是Dominick的Thinktecture Identity for Web API。它是Web API的实际安全框架,支持基于令牌的身份。