我们有一些应用程序(Web和WPF)调用WCF服务来访问数据。我们没有使用Windows身份验证。登录Web应用程序或WPF桌面应用程序时,提示用户输入用户名和密码。数据不是高度机密的(即没有信用卡,SSN等)。
我们想对WCF端点使用BasicHttpBinding。但是,我们希望将用户名和密码传递给WCF服务,以便我们可以根据用户限制对某些数据的访问。
我的问题是,由于我们100%处于Intranet环境中,是否有必要在SOAP消息的标头中简单地传递用户的用户名和密码,以便我们可以在WCF端对用户进行身份验证?这似乎是一种非常普遍的情况,我很好奇,当所有应用程序和服务都位于Intranet环境中时,其他人如何解决WCF方面的安全问题。
谢谢。