Criei um serviço WCF REST auto-hospedado (com alguns extras do WCF REST Starter Kit Preview 2). Está tudo funcionando bem.

Agora estou tentando adicionar autenticação básica ao serviço. Mas estou atingindo alguns obstáculos bastante grandes na pilha do WCF, o que está me impedindo de fazer isso.

Parece que oHttpListener (que serviços WCF auto-hospedados usam internamente em um nível baixo na pilha do WCF) está bloqueando minhas tentativas de inserir umWWW-Authenticate cabeçalho em um auto-gerado401 Unauthorized resposta. Por quê?

Posso obter a autenticação funcionando se eu esquecer issoWWW-Authenticate cabeçalho (que parece que a Microsoft também fez). Mas esse é o problema. Se eu não enviar de volta umWWW-Authenticate cabeçalho, o navegador da web não exibirá sua caixa de diálogo "logon" padrão. O usuário será apenas confrontado com um401 Unauthorized página de erro com nenhuma maneira de realmente fazer logon.

Os serviços REST devem estar acessíveis tanto para computadores quanto para humanos (pelo menos no nível de solicitação GET). Portanto, sinto que o WCF REST não está cumprindo uma parte fundamental do REST aqui. Alguém concorda comigo?

Alguém tem autenticação básica trabalhando com um serviço REST WCF auto-hospedado? Se sim, como você fez isso?

PS: Obviamente, minhas intenções de usar autenticação básica não segura estão na premissa de que eu também obteria o HTTPS / SSL funcionando também para o meu serviço. Mas isso é outra questão.

PPS: Tentei o WCF REST Contrib (http://wcfrestcontrib.codeplex.com/) e esse problema é exatamente o mesmo. Parece que esta biblioteca não foi testada em cenários auto-hospedados.

Obrigado.