保护数据库SOAP服务的可能解决方案

　　电影服务由3种类型的客户：
　　使用后端服务向基于浏览器的用户提供只读内容的网站。
　　必须查看、审查、更新和创建新内容的内部用户。
　　有时需要将某些电影类型外包给外部内容。
　　前两种客户类型使用Windows身份验证来访问电影服务。而外部内容提供商则使用SAML令牌通过联邦网关访问该服务。
　　要启用内部用户，采用以下操作：
　　（1）添加带有Windows身份验证的服务端点。
　　（2）启用并配置WIF。
　　（3）通过声明转换建立标识。
　　（4）添加授权方法和策略。
　　添加Windows身份验证
　　第一步是向电影服务中添加Windows身份验证。为此使用了混合模式的安全性（禁用了会话）。这意味着首先必须启用SSL。SSL究竟如何工作则取决于托管环境。既可以将SSL绑定到使用了IIS的端点，也可以使用netsh命令行工具来托管自托管。在自托管的情况下，还必须向WCF配置添加新的基本地址。
　　为了查看客户端是否通过身份验证，可以向List Movies方法中的Movie Service添加一些跟踪代码。
　　第二步就是修改Windows客户端以便使用通过身份验证的端点。这意味着必须向客户端配置红添加相同的绑定，并修改客户端所使用的端点地址。
　　现在，运行客户端时，服务可以在List Movie调用中跟踪客户端的Windows账户名。但是当仔细查看客户端标识的CLR类型时，会发现Windows Identity。
　　为了获取声明，最后一步就是启用WIF。将对FederatedServiceCredentials.Configure Service Host（主机）的调用插入到主机中（或托管IIS的主机工厂）。而当返回到客户端时，会发现现在的标识是WindowsClaimsIdentity类型（这就意味着WIF正在工作）。