你说的 ASP.NET Web Service在消息头里加个字段,服务端做验证,这个是可以的,但是无法保证传输的用户名和密码是加密安全的。
要求使用证书,也是强制服务器端,这里涉及到服务器身份鉴别的问题。
WCF两种安全模式:Transport 和Message安全。
两者基本上都需要使用证书。
Transport安全只有一种情况,在Windows Domain 里是不需要自己安装证书,其它使用HTTPS协议的情况就需要证书。
Message安全里的也基本是要求服务器端提供证书。
这些问题主要是由于一些现有的安全规范协议规定了至少服务器端要提供一个证书。
《WCF服务编程》里也有安全的详细介绍。