我有一个使用Asp.Net Membership登录的Asp.Net Web应用程序。现在我正在构建一个桌面应用程序,我希望用户使用他们的网站帐户安全地登录桌面应用程序。
我开始在网上使用WCF服务,用户名,密码用SHA256进行哈希处理,但现在我不知道如何检查密码是否正确。 Asp.Net Membership还使用salt来存储密码。我怎样才能做到这一点?
我会在ASP.NET webapp中创建一个WCF服务,它接受明文用户名和密码,当然还使用传输级加密。在这个服务中,我将调用MembershipProvider的ValidateUser()方法。
或者您可以实现更安全的身份验证机制,但在这种情况下,您应该使用自己的MembershipProvider,因为默认提供程序只接受明文密码,而无论它对此做什么都是秘密的。
诀窍在于,如果将WCF服务放在webapp中,那么它的行为就像您的浏览器客户端一样。如果您正在为浏览器客户端使用HTTPS,那么为WCF使用相同的HTTPS通道,您就可以了。