没有SSL但具有Windows组身份验证的WCF服务

时间:2012-05-15 03:45:41

标签: wcf ssl web-config windows-authentication

我们正在尝试创建只能由指定的Windows组访问的WCF服务。 如何在服务器web.config和客户端配置中配置?

注意:我们希望能够控制允许在服务器web.config中访问的窗口组,而不是代码。此外,我们根本不需要/需要SSL。

我用谷歌搜索,然后我能找到的最好的例子都是这样......

WCF Service, Windows Authentication

但这并不能解释如何限制只访问特定组或组。

2 个答案:

答案 0 :(得分:2)

如果这是Intranet应用程序,您可以使用netTcpBinding:

<services>
   <service name="YourService"
      behaviorConfiguration="YourServiceBehavior">
      <endpoint 
         binding="netTcpBinding"
         bindingConfiguration="SecureTransportWindows"
         contract="YourContract" />
   </service>
</services>

<bindings>
   <binding name="SecureTransportWindows">
      <security mode="Transport">
          <transport clientCredentialType="Windows" />
      </security>
   </binding>
</bindings>

<behaviors>
   <serviceBehaviors>
      <behavior name="YourServiceBehavior">          
          <serviceAuthorization principalPermissionMode="UseWindowsGroups" />
      </behavior>
   </serviceBehaviors>
</behaviours>

然后在服务代码中,您可以要求Windows角色:

class YourService : YourContract
{
    [PrincipalPermission(SecurityAction.Demand, Role="MYDOMAIN\Administrators")]
    public string SecuredOperation(string name)
    {
       return "secured operation";
    }
}

如果您需要在配置中进行设置,则必须实施自定义授权:

<behavior name="YourServiceBehavior">          
   <serviceAuthorization principalPermissionMode="Custom">            
      <authorizationPolicies>
         <add policyType="YourCustomAuthorizationPolicy"/>
      </authorizationPolicies>          
   </serviceAuthorization>
</behavior>

在代码实现IAuthorizationPolicy接口:

public class YourCustomAuthorizationPolicy : IAuthorizationPolicy
{
   //you need to check msdn 
}

答案 1 :(得分:1)

好的,这是我们提出的解决方案。虽然它确实涉及代码更改(添加AspNetCompatibilityRequirements属性),但我们现在可以在web.config文件中实现组/角色的配置,而不是硬编码。

这有很多步骤......

1)将 aspNetCompatibilityEnabled 属性添加到serviceHostingEnvironment元素中并设置为true,例如.... 

<serviceHostingEnvironment aspNetCompatibilityEnabled="true" />

这告诉WCF服务在ASP.NET兼容模式下运行并完全参与ASP.NET HTTP请求生命周期。有关详细信息,请参阅this MSDN article

2)在WCF代码中,根据上面的链接和this MSDN article中的指定,将 AspNetCompatibilityRequirements 属性添加到服务类... 

<AspNetCompatibilityRequirements(RequirementsMode:=AspNetCompatibilityRequirementsMode.Allowed)>

3)现在我们可以添加通常的ASP 授权元素来限制对指定组/用户的访问(没有上面的设置(1)和(2),WCF会忽略这一点) )... 

<system.web>
    <authorization>
        <allow roles="MYDOMAIN\WCFAuthenticatedUsers" /> <-- allows access to users in this group
        <deny users="*" /> <-- denies access to all other users
    </authorization>
</system.web>
相关问题
最新问题