anc32,
Вариантов много.
Если говорить совсем кратко, то, при реализации аутентификации в WCF, нужно иметь в виду 2 аспекта:
- Как credentials передаются с клиента на сервис
- Как они проверяются на стороне сервиса
Способы передачи делят на 2 группы:
- Передача на уровне транспортного протокола и средствами этого протокола
- Передача внутри SOAP сообщения (т.е. независимо от протокола - при этом на уровне протокола может осуществляться, например, шифрование).
Среди методов передачи средствами протокола, я бы назвал следующие (только надо помнить, что разные транспорты поддерживают разные способы):
- Basic/Username - передача пользователя и пароля в открытом виде
- Digest/Ntlm/Windows - передача пользователя и пароля, но в защищенном виде (передаются не сами пароли, а их производные функции, причем от случайных данных).
- Certificate - передача сертификата (ну т.е. конечно же передается не сам сертификат, а некий результат применения закрытого ключа. Если не ошибаюсь, то делается просто ЭЦП).
У методов на основе SOAP добавляется еще один вариант:
- Issued Token - это когда клиент сначала аутентифицируется у третьей стороны, получает токен, а затем с этим токеном ходит на сервис.
Что касается методов проверки переданных данных, то тут ситуация следующая:
- при передаче пользователя и пароля WCF автоматически проверяет их средствами Windows (т.е. аутентифицируют локально или в Active Directory). И у вашего кода нет возможности вмешаться в этот процесс.
- есть только 2 законных варианта вмешаться в этот процесс:
а) Вы передаете аутентификацию на уровне сообщений методом UserName
б) Вы передаете аутентификацию на уровне сообщений методом Basic. НО (!) только если хостите ваш сервис не под IIS
В этих 2-х случаях вы можете написать свой собственный метод проверки, создав класс наследник от
UserNamePasswordValidator
Варианты аутентификации с помощью сертификатов и Issued Token я не рассматриваю - они сложнее обычной парольной аутентификации. Но даже без них - море вариантов.
