处理调用内部 WCF 服务的外部 WCF 服务(身份验证 - 会话)

我需要构建这个架构，我需要一些关于"我应该如何构建"的方向。我已经阅读了许多文档和示例，但我找不到并弄清楚如何努力提高效率和安全：

外部应用程序(android应用程序，

• ios应用程序(，用户在登录后可以访问其个人信息并管理帐户(更新个人数据，显示与其帐户相关的个人文档等等(。用户名/pwd 输入只能完成 1 次。

公共 wcf 服务

• 将接收其操作，并将调用另一个内部 wcf 服务。它将像"桥梁"一样工作。

• 内部 wcf 服务将获取请求并执行所需的操作(逻辑和数据库操作(。这会将数据返回到外部 wcf 服务，并将此数据返回到客户端(显而易见(。

• 用户名/PWD 存储在数据库中。

• WCF 服务只能使用正确的凭据进行访问，并且由 IIS 承载。

所以我发现很多问题/问题：

• 我不知道我应该如何以及在哪里构建身份验证(内部，外部，两者兼而有之？ 如何管理 wcf 服务和应用客户端之间的会话以避免每次都发送凭据？

• 客户端应用需要每次都发送凭据？这意味着每个服务都需要选择数据库来检查用户名？

• 肥皂？休息服务？它不在乎？(在内部 WCF 上，外部 WCF 上，两者都有？

• 我需要 asp.NET 会话的工作，或者我真的不需要？我不明白需要频繁和重复调用的用户名/pwd 的服务在没有旧 asp.net 会话的情况下如何高效。

感谢您的帮助和指导。

问候！