如何在RESTful WCF API中实现HMAC身份验证

我们正在使用WCF构建一个RESTful API(目前是。net 3.5，但很快就会迁移到。net 4)。我们有一个功能框架，但目前还不安全。它需要可以从。net应用程序以及iOS、Android和web应用程序访问。

我们想使用这里和这里描述的HMAC认证方案，但是在描述如何验证哈希时，这两个例子似乎都崩溃了。第一个示例未能描述UserKeys对象(哈希表?)，第二个示例在客户端和服务器端缺少GetUserKey方法。

有没有人能解释一下"用户密钥"/令牌是如何在这些示例中生成/存储/检索/使用的，或者提供一个更好的示例(如果可能的话，带源代码)如何在RESTful WCF服务中使用HMAC授权?

经过更多的研究，我们确定我们需要更多的"授权"技术，而不是"身份验证"技术(语义?)。我们实现了Basic Authorization，并保护了SSL背后的API。Basic Authorization使用来自web Request的与HMAC Authentication方案相同的"Authorization"头，但是传递的是Base64编码的username:password字符串，而不是令牌。这允许我们根据数据库自定义验证用户，以确定用户是否获得许可并具有访问所需API方法的适当安全权限。

我们当然愿意听取其他关于如何完成自定义用户名/密码验证和其他保护API的方法的选择。