Александр Кондауров Сергей Протько мне вот интересно, если вы идёте по пути 3 решения как вы делаете (если она у вас есть) авторизацию. Я имею в виду Oauth. Вот есть у вас кнопка - войти через ВК. В ссылке для этой кнопки желательно (я бы сказал - обязательно) нужно прописывать STATE - случайно сгенерированную строку для защиты от атак. Этот STATE потом проверяется на сервере. Но как его проверять, если он был сгенерирован на клиенте?

Однозначно MVC. Про WPF можно забыть - хороший фрейморк, но десктоп приложения сейчас никому не нужны. Так же посмотрите на WebAPI и WCF.