Estoy creando un sitio web que contendrá páginas ASP.NET y un applet de Flash. Quiero encapsular mi lógica de negocios en un servicio WCF que se expondrá a través de dos puntos finales: uno accesible a través de Internet a través de HTTP (S), para uso del cliente Flash, y uno accesible dentro del centro de datos para uso de los servidores de aplicaciones . Si esto no parece un buen enfoque, entonces deténgame aquí; De lo contrario, seguiré adelante ...

La pregunta es cómo autenticar las solicitudes provenientes del cliente Flash. Como no quiero almacenar la contraseña del usuario en una cookie del navegador, no quiero enviar la contraseña con cada solicitud y no quiero tener que usar HTTPS después del inicio de sesión inicial, planeo usar un token sistema de autentificación basado. Tampoco quiero que el usuario tenga que iniciar sesión en el cliente de Flash después de haber iniciado sesión en el sitio, así que planeo usar Javascript para pasar el token al cliente de Flash cuando se inicie.

Sé que WCF admite el uso del marco de seguridad integrado de .NET Framework (System.Security) para imponer el control de acceso, y me gustaría aprovechar esto.

La pregunta, entonces, es:¿Cómo paso el token al servicio WCF cuando lo llama Flash y cómo proceso el token en el servidor?

WCF tiene un modo de autenticación de "token emitido", pero parece que está destinado a ser usado en un escenario de federación en toda regla con un servicio de token seguro y tokens SAML, un poco más de la complejidad que realmente quiero. ¿Es posible usar este modo con mis propios tokens de "cadena aleatoria simple"? ¿Si es así, cómo? Tenga en cuenta que esto debe ser compatible con Flash.Podría potencialmente pasar el token en un encabezado (ya sea un encabezado SOAP o un encabezado HTTP). En este caso, una vez que he determinado qué usuario realiza la solicitud, ¿cómo informo al marco para que funcionen las comprobaciones de seguridad del sistema?¿Hay un enfoque diferente que deba considerar? Cualquier cosa que evite enviar contraseñas en cada solicitud, me permita usar System.Security y funcione con Flash es una posibilidad.