WCF offre de nombreux mécanismes d'authentification et d'autorisation ultérieure. En ce qui concerne l'authentification: si vous êtes derrière un pare-feu d'entreprise dans un réseau local, utiliser les informations d'identification Windows est le plus simple: aucun nom d'utilisateur/mot de passe à mémoriser et à envoyer. Cela peut être combiné avec des vérifications d'autorisation par rapport au système d'appartenance à un groupe Windows, par ex. autoriser uniquement certains groupes d'utilisateurs à effectuer une action.
Si vous recherchez des services Internet, vous avez le choix entre des schémas de nom d'utilisateur/mot de passe ou des certificats. Le schéma de nom d'utilisateur/mot de passe standard peut être vérifié par rapport au système d'adhésion ASP.NET qu'APP.NET 2.0 nous a apporté, tant pour l'authentification (adhésion) que pour l'autorisation (fournisseur de rôle).
Les certificats sont parfaits si vous avez affaire à un ensemble très limité d'utilisateurs externes, par ex. busienss partners ou autres. Le certificat doit être livré au client "hors bande", par ex. d'une autre manière, par disque ou quelque chose. Mais une fois installé, il est transparent à utiliser et à vérifier. Juval Lowy (auteur de "Programmation WCF Services") a un excellent article sur MSDN sur Declarative WCF Security dans lequel il souligne ses cinq scénarios de sécurité, comment les utiliser et les sécuriser, et il a même une extension déclarative pour WCF à faire ceci en appliquant simplement un attribut à votre contrat de service - plutôt joli!