WCF 4.0
IIS主机
基本认证与自定义源
REST风格

使用UserNamePasswordValidator,ServiceAuthorizationManager和IDispatchMessageInspector等进行基本认证的实例和方法很多.

我所面临的问题是,验证实际上将从认证后端获取更多的信息,而不是/否答复.而且我想将这些信息以某种方式传递给被调用的服务方法(即它将是完整的用户对象,具有许多属性来控制服务行为).我想避免第二次调用用户商店,以便从安全上下文中可以访问的用户名来检索数据.

到目前为止,我发现的最接近的事情是this solution,它使用WCF REST Starter Kit的RequestInterceptor,我可以在其中注入ServiceSecurityContext的子类来承载我的数据,并将ServiceSecurityContext.Current转发回服务方法.

上面的问题是,它是为WCF 3.5编写的,我想避免使用入门工具包.

问题：任何想法将是链接中最合适的地方,所以我可以将数据从验证逻辑传递到服务.或者换句话说,我可以用我的自定义代替安全上下文来进行加载？还是其他任何载体机制？

我以后是这样的行为：

客户端(可能是浏览器)尝试使用服务：GET https://myservcer/service/data
服务器响应“需要基本认证”
客户端提供基本身份验证头并再次发送请求
该服务器基于用户/通过头文件,将一个User对象从数据库中提取出来.
如果找不到用户,请再次请求验证
如果找到用户,则User对象以某种方式传递服务方法
所有这一切都应该发生,而不必向数据库做第二次往返

到目前为止,我所理解的是,UserNamePasswordValidator不会做 – 如果我在其中检索到,那么没有办法传递User对象.

我可以创建一个自定义的IAuthorizationPolicy或SecurityToken(其中一个),并将User对象放在.但…应该发生这种情况.我可以用UserNameSecurityTokenAuthenticator吗？是否要返回正确的HTTP错误代码来请求凭据？我如何/在哪里修改web.config以使用我的自定义内容？到目前为止,我看到如何设置仅使用自定义UserNamePasswordAuthenticator.

编辑：请检查my own answer我的方法.不过问题是好的,我得到的答案是有价值的.