sistema @Our consiste em um serviço WCF auto-hospedado (não IIS) e em um site Asp.net que hospeda um aplicativo Silverlight. O aplicativo deve fazer praticamente tudo, o site é apenas um "shell" neste caso.

Temos dificuldade em descobrir como resolver a autenticação do usuário com seguranç

Pelo que sei, o Silverlight não pode lidar com a autenticação do Windows, não possui nenhum tipo de objeto de credenciais. O melhor que podemos pensar é autenticar o usuário quando ele solicita a página que hospeda o aplicativo. Em seguida, podemos passar o nome de usuário para o aplicativo em seus 'parâmetros de inicialização.

Dessa forma, temos um nome de usuário que pode ser enviado ao serviço wcf e pode servir como base para o gerenciamento de funções. O problema é que qualquer pessoa pode ligar para o nosso serviço sem um cliente silverlight e passar um nome de usuário. Além disso, o envio de dados confidenciais não criptografados entre o serviço WCF e o aplicativo Silverlight é uma má idéia. Então, minha pergunta é:

Como autenticar o cliente neste cenário com seguranç