Estou criando um site que conterá páginas ASP.NET e um applet Flash. Desejo encapsular minha lógica de negócios em um serviço WCF que será exposto por meio de dois pontos de extremidade: Um acessível pela Internet por meio de HTTP (S), para uso pelo cliente Flash, e um acessível dentro do data center para uso pelos servidores de aplicativos . Se isso não parecer uma boa abordagem, então me pare aqui; caso contrário, vou seguir em frente ...

A questão é como autenticar solicitações vindas do cliente Flash. Como não quero armazenar a senha do usuário em um cookie de navegador, não quero enviar a senha a cada solicitação e não quero ter que usar HTTPS após o login inicial, planejo usar um token- sistema de autenticação baseado. Eu também não quero que o usuário tenha que fazer o login no cliente Flash depois de já fazer login no próprio site, então eu pretendo usar JavaScript para passar o token para o cliente Flash quando ele for iniciado.

Eu sei que o WCF suporta o uso da estrutura de segurança interna do .NET Framework (System.Security) para impor o controle de acesso, e gostaria de aproveitar isso.

A questão, então, é:Como faço para passar o token para o serviço WCF quando ele é chamado pelo Flash e como processar o token no servidor?

O WCF tem um modo de autenticação "token emitido", mas parece que ele deve ser usado em um cenário de federação completo com um Serviço de Token Seguro e tokens SAML - um pouco mais de complexidade que eu realmente quero. É possível usar este modo com meus próprios tokens "string aleatória simples"? Se sim, como? Tenha em mente que isso precisa ser compatível com o Flash.Eu poderia potencialmente passar o token em um cabeçalho (um cabeçalho SOAP ou um cabeçalho HTTP). Nesse caso, depois de determinar qual usuário está fazendo a solicitação, como informarei a estrutura para que as verificações de System.Security funcionem?Existe uma abordagem completamente diferente que eu deveria considerar? Qualquer coisa que evita o envio de senhas em todas as solicitações, permite-me usar o System.Security, e funciona com o Flash é uma possibilidade.