我有一个WCF服务,它托管在ASP.NET MVC应用程序中(如http://msdn.microsoft.com/en-us/library/aa702682.aspx中所述)。部分MVC操作和WCF服务操作受到保护,我使用ASP.NET Forms身份验证:
// protected MVC action
[Authorize]
public ActionResult ProtectedMvcAction(string args)
// protected WCF operation
[PrincipalPermission(SecurityAction.Demand, Role = "User")]
public void ProtectedWcfOperation(string args)
我的WCF客户端确保在每次WCF调用时将Forms Authentication .ASPXAUTH cookie传输到服务器。
长期以来效果很好。现在我使用HTTPS证书向我的服务器添加SSL加密。这要求我对Web.config`进行以下更改:
<basicHttpBinding>
<binding name="ApiServiceBinding">
<security mode="Transport">
<transport clientCredentialType="None" />
</security>
</binding>
</basicHttpBinding>
服务被激活,客户端可以调用服务器操作。但是,受保护服务器操作前面的[PrincipalPermission]属性会突然阻止所有服务调用。我发现了以下内容:
<security mode="Transport">),Thread.CurrentPrincipal和HttpContext.Current.User都设置为RolePrincipal个实例,FormsIdentity个实例在{ {1}}财产。在这种情况下,一切正常。RolePrincipal.Identity),属性<security mode="Transport">仍设置为HttpContext.Current.User组合。但是,属性RolePrincipal/FormsIdentity突然设置为Thread.CurrentPrincipal个实例,这会使WindowsPrincipal/WindowsIdentity属性抛出异常。我尝试了以下内容:
[PrincipalPermission]更改为每个可能的值(在AppDomain.CurrentDomain.SetPrincipalPolicy的{{1}}中),但这并没有改变任何内容。Global.asax中设置属性Application_Start,但在Thread.CurrentPrincipal和实际服务调用之间,Application_PostAuthenticate的{{1}}更改为{{ 1}}再次。任何提示?我做错了什么?
答案 0 :(得分:3)
这解决了它:
http://www.codeproject.com/Articles/304877/WCF-REST-4-0-Authorization-with-From-Based-authent
我将此代码用于覆盖Windows和Forms端点以及相同的服务 - 这也适用 -
public bool Evaluate( EvaluationContext evaluationContext, ref object state )
{
bool ret = false;
// get the authenticated client identity
HttpCookie formsAuth = HttpContext.Current.Request.Cookies[ ".MyFormsCookie" ];
if( null != formsAuth )
{
FormsAuthenticationTicket ticket = FormsAuthentication.Decrypt( formsAuth.Value );
if( null != ticket )
{
GenericIdentity client = new GenericIdentity( ticket.Name, "Forms" );
// set the custom principal
CustomPrincipal p = new CustomPrincipal( client );
p.RoleManagerProvider = "Internet";
evaluationContext.Properties[ "Principal" ] = p;
ret = true;
}
}
else
{
CustomPrincipal p = new CustomPrincipal( HttpContext.Current.User.Identity );
p.RoleManagerProvider = "Intranet";
evaluationContext.Properties[ "Principal" ] = p;
// assume windows auth
ret = true;
}
return ret;
}
查找表单auth cookie并尝试使用Windows身份验证(如果不存在)。我还“翻转”内部和外部的角色提供者
这允许我将用户凭据从互联网(通过转发cookie)和内部网(使用Windows约束委派)传播到同一内部服务。
我在配置中进行了配置(而不是按照示例编写代码),看起来很好。
对于这样的行为:
<behavior name="FormsPaymentsBehavior">
<serviceAuthorization principalPermissionMode="Custom" >
<authorizationPolicies>
<add policyType="FormsPolicy.AuthorizationPolicy,FormsPolicy" />
</authorizationPolicies>
</serviceAuthorization>
这用于两个端点,因为FormsPolicy(上面)处理两者,并且您不能为不同的端点指定不同的行为。
绑定在适当的端点上强制执行Windows凭据握手:
<basicHttpBinding>
<binding name="WindowsHttpBinding">
<security mode="TransportCredentialOnly">
<transport clientCredentialType="Windows" />
</security>
</binding>
<binding name="FormsHttpBinding" allowCookies="true">
<security mode="None">
<transport clientCredentialType="None" />
</security>
</binding>
</basicHttpBinding>
传输模式可以更改为
<security mode="Transport">
<transport clientCredentialType="None" />
</security>
对于https,它运行正常。
对于您的自定义主体,我发现我必须明确调用角色管理器
...
public bool IsInRole( string role )
{
RoleProvider p = Roles.Providers[ RoleManagerProvider ];
return p.IsUserInRole( Identity.Name, role );
}
public String RoleManagerProvider { get; set; }
...
我想,这是因为我不再使用任何aspnet compat。因为我正在根据我的身份验证类型来调整角色管理器,然后哼哼。
答案 1 :(得分:1)
我也遇到过这个问题,这里有另一份报告(和我的报道)。 http://social.msdn.microsoft.com/Forums/en-US/wcf/thread/8f424d4f-2f47-4f85-a6b0-00f7e58871f1/
此主题指向正确的解决方案,即创建自定义授权策略(http://msdn.microsoft.com/en-us/library/ms729794.aspx)和此代码项目文章(http:// www .codeproject.com / Articles / 304877 / WCF-REST-4-0-Authorization-with-From-Based-authenticnt)似乎解释了如何为FormsAuth做到这一点 - 设置evaluationContext.Properties [“Principal”] = new根据MS评论,CustomPrincipal(客户端)。
我还没有实现这个 - 我的“快速解决方案”只是简单地恢复到一个普通的asmx服务 - 但是我会在一段时间内“放手一搏”!
如果您找到其他解决方案 - 请告诉我。