保護(hù)數(shù)據(jù)庫(kù)REST服務(wù)的可能解決方案

　　與SOAP世界相比，在REST世界（此處以模糊的方式來(lái)使用這個(gè)詞）中形勢(shì)略有不同。SOAP有WS-Security，它是用于身份驗(yàn)證和消息保護(hù)的強(qiáng)大（有時(shí)非常強(qiáng)大）協(xié)議。而另一方面，REST沒(méi)有超出標(biāo)準(zhǔn)的基于HTTP的身份驗(yàn)證（例如，基本身份證——在某些情況下可能是Windows身份驗(yàn)證）的標(biāo)準(zhǔn)機(jī)制。不過(guò)可以使用WIF將REST服務(wù)移動(dòng)到基于聲明的模型中。
　　首先使用Windows身份驗(yàn)證來(lái)保護(hù)REST服務(wù)。然后再看一下自定義身份驗(yàn)證方法（如SAML）,可以更好地演示在不支持“即插即用”啟用聲明的服務(wù)的情況下如何使用WIF核心API。
　　好消息是WIF支持帶有HTTP身份驗(yàn)證的WCF REST服務(wù)。這意味著可以重復(fù)使用前面創(chuàng)建的所有代碼和基礎(chǔ)結(jié)構(gòu)。
　　而你必須做的是在綁定和Web Client上啟用Windows身份驗(yàn)證，在Web服務(wù)主機(jī)上啟用WIF。從這一點(diǎn)上來(lái)說(shuō)，將調(diào)用針對(duì)Windows客戶端的聲明轉(zhuǎn)換代碼，還將調(diào)用相同的授權(quán)管理器?，F(xiàn)在所有工作已完成。
　　如前所述，關(guān)于基于令牌的身份驗(yàn)證和REST服務(wù)，并沒(méi)有真正的標(biāo)準(zhǔn)。但是大多數(shù)的身份驗(yàn)證方案都有一個(gè)共同點(diǎn)。一般來(lái)說(shuō)，身份驗(yàn)證信息（從簡(jiǎn)單的用戶名/密碼到令牌）都使用HTTP授權(quán)標(biāo)頭來(lái)傳輸。
　　標(biāo)頭的確切布局（如令牌格式或編碼）通常由服務(wù)提供商簡(jiǎn)單定義。由于目前沒(méi)有明確的標(biāo)準(zhǔn)，所以WIF沒(méi)有對(duì)這些“本土的”身份驗(yàn)證提供直接支持，但是卻可以使用WIF API自己實(shí)現(xiàn)這種支持。為了達(dá)到本例的目的，需要添加對(duì)SAML持有者令牌的支持。
　　簡(jiǎn)而言之，下面所示的是向WCF Web服務(wù)主機(jī)中添加自己的SAML支持必須有的步驟：
　?。?）分析傳入的HTTP請(qǐng)求，然后提取授權(quán)標(biāo)頭。
　　（2）從標(biāo)頭中提取SAML令牌，并對(duì)其進(jìn)行驗(yàn)證。
　?。?）將此功能打包熬W(wǎng)CF ServiceAuthorizationManager中。
　?。?）將授權(quán)管理器打包到服務(wù)主機(jī)和工廠中。
　　聽起來(lái)似乎很多工作要做，但幸運(yùn)的是WIF完成了大部分繁重的工作。你只需要提供標(biāo)頭解析代碼和管道；WIF則負(fù)責(zé)所有與令牌相關(guān)的處理。同時(shí)還可以共享聲明轉(zhuǎn)換和授權(quán)代碼。
　　而在客戶端，可以重用為SOAP服務(wù)中請(qǐng)求令牌的代碼。所不同的是所請(qǐng)求的必須是持有者令牌（查看電影示例客戶端）。然后還必須將該令牌放置在授權(quán)標(biāo)頭中，以便服務(wù)端管道可以獲取該令牌。