我已经创建并测试了通过IIS 7受SSL和Windows身份验证保护的WCF REST服务。我还已经创建并测试了由IIS 7托管并受SSL和Windows身份验证保护的纯html / javascript Web客户端-同一服务器,IIS中的不同“站点”。 REST服务不是公开的,但Web客户端是公开的。
没有安全性,一切工作都会很顺利,但是现在我们可以进行现场测试了,必须实施安全性。
我的最终目标是让用户访问mywebclient.com并使用其Active Directory帐户进行身份验证。 最初,我认为将来自客户端到REST服务的服务调用置于未受保护状态是安全的(因为从Web客户端到Web服务的流量将是内部的),但这不能保护我们免受内部攻击者的攻击。 而且,将来,REST服务将通过本机应用程序提供给手持设备。
我试图获得有关此主题的尽可能多的信息,但是Microsoft的每篇文档都包含用.NET编写的客户端示例。
如何在这些站点之间共享安全上下文,而又不将Web客户端转换为基于.NET的应用程序? 是否可以通过将Web客户端和服务组合到一个IIS“站点”中来完成?
编辑:如果客户端和服务存在于同一个应用程序池中,是否意味着它们可以在客户端和服务器进程之间共享身份验证信息?
查看此如何使用jQuery将Windows身份验证传递给Web服务? 解释了访问Service时基本上传递Windows Auth的方法。 但是我不确定您是否会回答其他问题。