4. FirstName 不能包含@字符

用户名/密码凭证在客户端的设置很容易，但是我们关心的是服务端采用怎样的机制来验证这个凭证。WCF为你提供了如下三种方式来验证凭证中用户名是否和密码相符：


Windows：将用户名和密码映射为Windows帐号和密码，采用Windows认证；
MembershipProvider：利用配置的MembershipProvider验证用户名和密码；
自定义：通过继承抽象类UsernamePasswordValidator，自定义用户名/密码验证器进行验证。

　　这种认证方式的不足之处有两点


　　1、服务器端要为每个用户保留 session 信息，连接用户多了，服务器内存压力巨大


　　2、适合单一域名，不适合第三方请求