WCF安全-令牌服務

1、介紹

1. WS-Trust       安全令牌服務 (STS) 是基于 WS-Trust協定建構、簽署和頒發安全令牌的服務元件，可處理不同類型憑據的身份驗證。

         ​​WS-Trust​​是WS-*規範族中的一員，也是OASIS其中的一項标準，專門處理有關安全tokens的釋出，更新和驗證，確定各方參與者的互操作處在一個可信任的安全資料交換環境中。

         從較高層次看，WS-Trust使用四種服務操作來描述一個約定：頒發、驗證、續訂和取消。用戶端分别調用這些操作來請求安全令牌、驗證安全令牌、續訂已過期的安全令牌以及取消不應再繼續使用的安全令牌。WS-Trust規範定義了每個操作的文法：

         請求安全性令牌時：使用 WS-Trust 規範中定義的<RequestSecurityToken> 消息進行請求的。

         傳回安全性令牌時：使用 WS-Trust 規範中定義的<RequestSecurityTokenResponse> 消息進行傳回的。

Windows Identity Foundation (WIF, Windows 身份驗證基礎)，先前代号為 Geneva 架構。若要用最簡單的幾句話來介紹，其為微軟 .NET 平台的一個身份辨別新架構，它将 WS-Trust 和 WS-Federation 協定抽象化，幫助開發者從應用程式中排除掉身份驗證的處理，隻用單一的程式設計模式和工具，即可建構基于「聲明」的身份驗證、授權、及其他安全功能，改善開發者生産力 (避免過去應用程式複雜的認證過程)、增強程式安全性、提供協同合作性，以在 Azure 雲端，或非雲端的 ASP.NET 與 WCF 應用程式，實作「單點登陸 (SSO)」、個性化、聯合化、強驗證、身份驗證委托，以及其他驗證功能。

在WIF中，除了更容易實作單點登入，且應用程式不用再負責以下操作 [4]：

對使用者進行身份驗證。

存儲使用者帳戶和密碼。

調用企業目錄以檢視使用者辨別的詳細資訊。

從其他平台或公司，與既有的辨別系統內建。

WIF 可用于任何使用 .NET 3.5 SP1、.NET 4 的 Web 應用程式或 Web 服務。但 WIF 隻是微軟的「聯合身份辨別」軟體系列的一部分。「聯合身份辨別」包含三種元件：Active Directory Federation Services (ADFS) V2 (之前稱為「Geneva」伺服器)、Windows CardSpace、WIF。 這三種元件共同構成了微軟基于「聲明」的新通路平台其核心。

對于使用 WIF 的 WCF 服務，開發者不再需要用典型 WCF 身份驗證和授權行為初始化 ServiceHost 執行個體。WIF 取代了這些行為，并提供更簡潔的方式進行一般的安全配置、身份驗證設定 [5], [17]。

2、運用