来自网站客户端的 WCF 授权

Question

我正在与用户一起使用 ASP.NET 应用程序（基于 ASP.NET Identity 2）。每个用户都可以将数据发布到 WCF 服务（ASP 控制器后端）。在系统中是配额，还有角色和其他。我想限制每个用户对 WCF 的访问。我的意思是，如果“用户”尝试创建自己的应用程序并连接到服务，“基本”用户就无法做管理员可以做的事情。

基本上是关于授权。我不知道什么是最佳实践。我应该在标头用户名和某些令牌中发送到 WCF，还是在网站上进行安全检查，并通过证书或其他保证仅接受该特定网站应用程序的方式使 WCF 通信仅适用于一个特定应用程序？

如果没有任何描述的做法是好的，那么它应该是什么？

感谢您分享您的知识:)

Answer 1

1- 在 MVC 端，使用 [Authorize] 属性完成授权。此属性验证 .ASPX 身份验证 cookie 是否已创建且有效。

2- 在 WCF 上，您必须使用 [PrincipalPermission(SecurityAction.Demand, Role = "Admin")] 装饰您的方法，其中“Admin”是 MVC Web 应用程序池标识。这样可以确保只能从管理门户调用此操作。例如，这同样适用于客户门户。

3- 为了更精细的安全性，您可以通过设置 CallContext（WCF 之一）将用户名从 MVC 发送到 WCF。 CallContext.Set("username",value) 并使用拦截器从 WCF 读取它。