Estoy creando un servicio REST WCF y quiero usar OAuth para autenticar la solicitud de cada usuario. Las cuentas de usuario se almacenan en Active Directory, por lo que tengo acceso a su nombre de inicio de sesión de AD en la aplicación cliente y puedo pasar esa información junto con el encabezado de la solicitud.
He usado Auth con la API REST de FatSecret antes, así que estoy familiarizado con cómo funciona la autenticación.
Básicamente, no estoy seguro de cómo manejar la asignación y el almacenamiento de claves secretas para los usuarios y cómo vincular la clave secreta de un usuario con su nombre de inicio de sesión de AD.
¿Tendré otra base de datos que contenga una tabla de asignación de nombres de inicio de sesión de usuario AD a claves secretas y luego buscaré la clave secreta en esa tabla cuando llegue la solicitud?
¿Cómo me aseguro de que la solicitud entrante provenga realmente del usuario cuyo nombre de inicio de sesión esté en la solicitud entrante? nadie podría abrir Fiddler y crear una solicitud con el nombre de inicio de sesión AD de otro usuario ?