我正在创建一些Web服务,我想使用自定义(即非WS-Secure等)方法来保护它.目前我的计划是有一个方法,它采用活动目录用户名和密码(当然是通过HTTPS)来验证用户.然后,此方法将获取该用户的帐户SID,并使用安全但可逆的方法对其进行加密,并将其作为安全令牌传回.
在此之后,调用者将加密的令牌作为参数传递给每个Web方法,作为确保调用者经过身份验证的方法.然后可以解密该令牌并将其转回到目录条目中(并因此确认其真实性)相当简单.这有额外的好处,允许方法绝对识别经过身份验证的调用者.
但是,使用帐户中的SID(通常只是内部的),让我有点担心.这样安全吗?
编辑:正如我在评论中所述,我已经意识到令牌需要"会话化" - 即它需要到期以减少令牌重用的可能性.这可能是通过将客户端会话保持为令牌的一部分来处理的.