Проверка подлинности WCF/basicHttp и NTLM

Question

Кто-нибудь знает, как точно работает проверка подлинности NTLM в WCF/basicHttp? Интересно, передаются ли учетные данные пользователя для каждого вызова метода службы, или если для последующих вызовов метода обслуживания используется какой-то токен безопасности.

Точная конфигурация связывания, что я использую:

<bindings> 
    <basicHttpBinding> 
    <binding name="winAuthBasicHttpBinding"> 
     <security mode="TransportCredentialOnly"> 
     <transport clientCredentialType="Ntlm" /> 
     </security> 
    </binding> 
    </basicHttpBinding> 
</bindings> 

Я нашел этот тип конфигурации на ссылке MSDN. Но я не уверен, что это хорошая идея. Альтернативой будет предоставление пользовательского метода GetAuthenticationToken() для предоставления маркера безопасности для всех последующих запросов клиента. Это можно сделать через блок приложений Enterprise Library - Security Application Block.

Дополнительная информация: Услуга используется клиентами браузеров/Silverlight.

Answer 1

В этом случае каждый вызов метода будет аутентифицирован.

То, о чем вы говорите, будет так называемым «безопасным сеансом», когда клиент аутентифицируется один раз против сервера, а затем для последующих обменов используется общий токен. Однако эти функции защищенных сеансов доступны только с помощью wsHttpBinding, а не с basicHttpBinding.

Marc