OAuth nie przesyła nazwy użytkownika/hasła. OAuth wysyła nagłówek OAuth w nagłówku HTTP Auth. Twoja usługa będzie musiała to wyciągnąć, a następnie przetestować, aby upewnić się, że jest ważna.
Nagłówek OAuth będzie zawierał w sobie kilka wartości (znacznik czasu, klucz konsumenta, nieszyfrowany) bez szyfrowania. Możesz wziąć te niezaszyfrowane wartości i użyć klucza niezaszyfrowanego do wyszukania tajnego klucza, którego twoja usługa będzie używała do szyfrowania tych samych wartości i upewnienia się, że pasuje do podpisu, który jest również zawarty w nagłówku OAuth. Jeśli wygenerowany podpis jest zgodny z sygnaturą zawartą w nagłówku OAuth, to wiesz, że żądanie HTTP jest dobre. Następnie możesz usunąć klucz konsumenta z nagłówka i użyć go do wyszukania nazwy użytkownika, jeśli zajdzie taka potrzeba.
Zobacz my post here. Weź pod uwagę, że istnieje kilka dobrych bibliotek, które ułatwiają to wszystko, na przykład DotNetOpenAuth.
Naprawdę muszę po prostu napisać zachowanie OAuth dla WCF ... –