使用Geneva Framework创建本地令牌缓存

时间:2008-12-30 13:30:02

标签: federated-identity geneva-framework

还没有看到许多与日内瓦相关的问题,我已经在Geneva Forum中发布了这个问题......

我正在开发一个场景,我们有一个带有广泛安装基础的win form应用程序,它会在整个操作过程中频繁发出由我们集中托管的各种服务。

这些服务都使用日内瓦框架,所有客户都应首先致电我们的STS,发出令牌以允许访问服务。

开箱即用,使用ws2007FederationHttpBinding,应用程序可以配置为在每次服务调用之前从STS检索令牌,但显然这不是最有效的方式,因为我们几乎重复调用服务的工作量

或者,我已经实现了从应用程序“手动”检索令牌所需的代码,然后在调用服务上的操作时传递相同的预先检索的令牌(基于WSTrustClient示例和论坛的助手);效果很好,所以我们确实有一个解决方案,但我相信它不是很优雅,因为它需要在代码中构建WCF通道,远离美妙的WCF配置。

我更喜欢ws2007FederationHttpBinding方法,客户端只需像任何其他WCF服务一样调用服务,而不了解日内瓦的任何信息,绑定会处理令牌交换。

然后有人(Jon Simpson)给了我[我认为是一个好主意 - 添加一个服务,托管在应用程序本身以缓存本地检索的令牌。 本地缓存服务将实现与STS相同的合同;当收到请求时,它会检查是否存在cahced令牌,如果存在,则返回它,否则它将调用“真正的”STS,检索新令牌,缓存它并返回它。 客户端应用程序仍然可以使用ws2007FederationHttpBinding,但不是将STS作为发行者,而是使用本地缓存;

通过这种方式,我认为我们可以实现两全其美 - 在没有服务特定的自定义代码的情况下缓存令牌;我们的缓存应该能够处理所有RP的令牌。

我已经创建了一个非常简单的原型,看看它是否有效,并且 - 不幸的是有点不足为奇 - 我有点卡住了 -

我的本​​地服务(当前是一个控制台应用程序)获取请求,并且 - 第一次 - 调用STS来检索令牌,缓存它并成功将其返回给客户端,随后使用它来调用RP。一切顺利。

然而,第二次,我的本地cahce服务尝试再次使用相同的令牌,但客户端失败并出现MessageSecurityException -

“安全处理器无法在消息中找到安全标头。这可能是因为消息是不安全的故障,或者因为通信方之间存在绑定不匹配。如果服务配置为安全性,则可能会发生这种情况。客户端没有使用安全性。“

是否存在阻止同一令牌多次使用的内容?我对此表示怀疑,因为当我根据WSTrustClient示例重用令牌时,它运行良好;我错过了什么?我的想法可能吗?一个好的?

这是(非常基本的,在此阶段)本地缓存的主要代码位 - 

    static LocalTokenCache.STS.Trust13IssueResponse  cachedResponse = null; 
    public LocalTokenCache.STS.Trust13IssueResponse Trust13Issue(LocalTokenCache.STS.Trust13IssueRequest request) 
    { 
        if (TokenCache.cachedResponse == null) 
        { 
            Console.WriteLine("cached token not found, calling STS"); 
            //create proxy for real STS 
            STS.WSTrust13SyncClient sts = new LocalTokenCache.STS.WSTrust13SyncClient(); 
            //set credentials for sts 
            sts.ClientCredentials.UserName.UserName = "Yossi"; 
            sts.ClientCredentials.UserName.Password = "p@ssw0rd"; 
            //call issue on real sts 
            STS.RequestSecurityTokenResponseCollectionType stsResponse = sts.Trust13Issue(request.RequestSecurityToken); 
            //create result object - this is a container type for the response returned and is what we need to return; 
            TokenCache.cachedResponse = new LocalTokenCache.STS.Trust13IssueResponse(); 
            //assign sts response to return value... 
            TokenCache.cachedResponse.RequestSecurityTokenResponseCollection = stsResponse; 
        } 
        else 
        { 
        } 
        //...and reutn 
        return TokenCache.cachedResponse;

2 个答案:

答案 0 :(得分:6)

这几乎令人尴尬,但多亏了Dominick Baier在论坛上我现在还没有意识到我错过了一个重点(我知道它没有意义!老实说!:-)) -

每个服务代理检索一次令牌,假设它没有过期,所以我需要做的就是重用相同的代理,无论如何我打算做什么,但是,相当愚蠢的,没有在我的原型。

另外 - 我在MSDN WCF样本上发现了一个非常有趣的示例 - Durable Issued Token Provider,如果我理解正确的话,它会在客户端使用自定义端点行为来实现令牌缓存,这非常优雅。

我仍然会看到这种方法,因为我们有几种服务,因此我们可以通过在代理之间重复使用相同的令牌来实现更高的效率。

所以 - 两个解决方案,几乎是我的眼睛;希望我的愚蠢在某些时候帮助某人!

答案 1 :(得分:1)

我在这里提供了一个完整的缓存令牌示例:http://blogs.technet.com/b/meamcs/archive/2011/11/20/caching-sts-security-token-with-an-active-web-client.aspx

相关问题
最新问题