Jag håller på med ett WCF-projekt som skall vara hostat i IIS och det använder dessutom REST, vilket om jag inte har fel är starkt kopplat till WebHttpBinding och <WebHttp>-taggen. Nu skulle jag vilja säkra upp den lite och helst skulle jag vilja att man kan skicka med username/password (hashat eller krypterat) och att dessa sedan valideras av min kod på servern mot användartabellen i vår databas. Jag vill alltså inte att validering skall ske mot windowskonto eller SQL-serverkonton.

I och med att det är REST det handlar om så vore det bra om man kunde få upp en dialog i browsern där man kunde ange username/password i de fall man inte anropar servicen från ett klientprogram, om detta är möjligt...

Jag misstänker att jag i detta läget skall kunna sätta IIS:en till att använda Anonymous Authentication eftersom jag vill hantera det själv i min serverkod? Jag borde väl kunna lösa detta på ett någorlunda säkert sätt utan SSL och certifikat?

Är UserNamePasswordValidator ett alternativ?

Det finns ju tusen exempel på webben men eftersom WCF är så sort så har jag inte hittat något som passar just mitt scenario. Vissa exempel fungerar inte p g a IIS:en, andra verkar bara fungera för selfhostade lösningar, och ytterligare andra verkar inte vara gjorda för WebHttpBinding...*suck*...i stort sett allt ovanstående är nytt för mig tyvärr så var inte rädd för att vara övertydlig :-)