我有一个WCF服务应用程序,我想只通过更改配置来启用或禁用安全性。
我创建了两个basicHttpBinding元素,一个具有安全性,另一个没有安全性。根据我申请的绑定,我启用或禁用服务的安全性。
这是我的配置:
<system.serviceModel>
<bindings>
<basicHttpBinding>
<binding name="HostedBasicHttpBinding">
<readerQuotas maxDepth="2147483647" maxStringContentLength="2147483647"
maxArrayLength="2147483647" maxBytesPerRead="2147483647" maxNameTableCharCount="2147483647" />
</binding>
<binding name="SecuredBasicHttpBinding">
<security mode="TransportWithMessageCredential">
<transport clientCredentialType="None" />
<message clientCredentialType="UserName" />
</security>
</binding>
</basicHttpBinding>
</bindings>
<services>
<service name="SecuredService.CustomerService" behaviorConfiguration="DefaultBehavior">
<endpoint address="" binding="basicHttpBinding" contract="SecuredService.ICustomerService" bindingConfiguration="HostedBasicHttpBinding"/>
<endpoint address="mex" binding="mexHttpBinding" contract="IMetadataExchange"/>
</service>
</services>
<behaviors>
<serviceBehaviors>
<behavior name="DefaultBehavior">
<serviceMetadata httpGetEnabled="true"/>
<serviceDebug includeExceptionDetailInFaults="true"/>
</behavior>
<behavior name="SecuredServiceBehavior">
<serviceMetadata httpGetEnabled="true" httpsGetEnabled="true"/>
<serviceDebug includeExceptionDetailInFaults="false"/>
<serviceCredentials>
<userNameAuthentication userNamePasswordValidationMode="Custom" customUserNamePasswordValidatorType="SecuredService.CustomerClientValidator, SecuredService"/>
</serviceCredentials>
<serviceAuthorization serviceAuthorizationManagerType="SecuredService.CrmServiceAuthorizationManager, SecuredService" principalPermissionMode="Custom">
<authorizationPolicies>
<add policyType="SecuredService.AuthorizationPolicy, SecuredService"/>
</authorizationPolicies>
</serviceAuthorization>
</behavior>
</serviceBehaviors>
</behaviors>
<protocolMapping>
<add binding="basicHttpBinding" scheme="http" bindingConfiguration="HostedBasicHttpBinding" />
</protocolMapping>
<serviceHostingEnvironment aspNetCompatibilityEnabled="true" multipleSiteBindingsEnabled="true" />
在这里,当我应用绑定HostedBasicHttpBinding和行为DefaultBehavior时,我希望我的服务不会启用任何身份验证或授权。当我应用SecuredBasicHttpBinding和SecuredServiceBehavior时,我希望我的服务应用所有已配置的安全性(身份验证和授权)。
现在的问题是,即使我申请HostedBasicHttpBinding和DefaultBehavior,授权似乎也会启动并引发错误,例如“拒绝访问”。
以下是包含PrinciplePermission的服务代码:
[PrincipalPermission(SecurityAction.Demand, Role = "Admin")]
public void UploadEmployees(CustomerRequest request)
{
ProcessEmployees(request.PacketId, request.Employees);
}
当我在没有安全性的情况下应用配置绑定时,如何禁用授权。我的要求是仅通过配置启用或禁用,而不是触及代码。
答案 0 :(得分:0)
我看到一个选项 - 检查权限programmatically(禁用安全时跳过)
为了保持代码清洁,您可以将检查代码移动到单个方法中,并在需要的地方使用它。甚至使用静态IL编织(编译时间AOP) - 例如Fody(方法装饰器编织器)