是否有一种干净的方式来公开需要基本身份验证的WCF REST服务,但我们自己处理用户名/密码的实际验证?看来,当您在配置中告诉WCF要使用基本身份验证时,它会强制您在IIS中启用基本身份验证,而IIS只能对窗口帐户执行基本身份验证.
我们发现的唯一黑客是骗取WCF并告诉它服务没有安全性,然后使用通用的IHttpModule(它有一个专有的配置文件来指示哪些URL具有哪个身份验证/授权)在WCF堆栈之外进行身份验证要求).
似乎应该有更好的方法.有人吗?
我们生产中的SOAP Web服务依赖于SOAP Headers(包含普通客户端凭据)进行身份验证.WS用于具有.NET/Java/PHP/Python/C++客户端的异构环境,包括Web应用程序或桌面应用程序.
我们正在考虑使用这些WS的v2,我想知道什么被认为是WS SOAP身份验证的最佳实践?(相当安全,但易于在各种平台上处理).