使用用户名和证书的WCF消息身份验证

时间:2013-07-11 06:56:29

标签: wcf iis-7 wcf-binding wcf-security x509certificate

长话短说:

我的WCF客户端应该能够为IIS中托管的服务提供用户名和证书,我应该使用该信息来使用自定义策略验证请求。

完整故事:

我需要验证一些WCF客户端以验证它们是否可以执行操作。

我们有两种客户端:WPF应用程序和Web应用程序。我们想做以下事情:

  • Web应用程序使用服务信任的证书,以便将其识别为具有所有权限的特殊用户(Web应用程序已经自行验证权限,我们现在不想触摸它)
  • WPF客户端使用用户提供的用户名/密码进行身份验证

在执行操作时,我想验证证书是否已提供(然后我识别“超级用户”),否则回退到用户名/密码身份验证。

服务托管在IIS 7中,我们需要使用NetTcpBinding。 我能够实现用户名验证,但问题是服务检查的AuthorizationContext只包含身份信息,而不包含证书。 在客户端使用以下代码来初始化通道的创建(来自我用来测试解决方案的尖峰):

var factory = new ChannelFactory<T>(this.Binding, address);

        var defaultCredentials = factory.Endpoint.Behaviors.Find<ClientCredentials>();
        factory.Endpoint.Behaviors.Remove(defaultCredentials);

        var loginCredentials = new ClientCredentials();
        loginCredentials.ServiceCertificate.Authentication.CertificateValidationMode =
                     X509CertificateValidationMode.None;
        loginCredentials.UserName.UserName = username;
        loginCredentials.UserName.Password = password;
        if (useCertificate)
        {
            loginCredentials.SetCertificate();
        }

        factory.Endpoint.Behaviors.Add(loginCredentials);
        return factory.CreateChannel();

将SetCertificate扩展实现如下:

public static void SetCertificate(this ClientCredentials loginCredentials)
    {
        loginCredentials.ClientCertificate.SetCertificate(StoreLocation.LocalMachine, StoreName.My, X509FindType.FindBySubjectName, "SecureWcfClient");
    }

这是托管服务的Web应用程序的配置:

<system.serviceModel>
<behaviors>
  <serviceBehaviors>
    <behavior name="SecureBehavior">
      <serviceMetadata httpGetEnabled="true" />
      <serviceDebug includeExceptionDetailInFaults="true" />
      <serviceCredentials>
        <serviceCertificate findValue="Test"
              storeLocation="LocalMachine"
              storeName="My"
              x509FindType="FindBySubjectName" />
        <clientCertificate>
          <authentication certificateValidationMode="Custom" customCertificateValidatorType="AuthenticationProtectedService.Security.CertificateValidator, AuthenticationProtectedService.Security"/>
        </clientCertificate>
        <userNameAuthentication userNamePasswordValidationMode="Custom"
         customUserNamePasswordValidatorType="AuthenticationProtectedService.Security.UserNamePassValidator, AuthenticationProtectedService.Security" />
      </serviceCredentials>
      <serviceAuthorization serviceAuthorizationManagerType="AuthenticationProtectedService.Security.CertificateAuthorizationManager, AuthenticationProtectedService.Security"/>
    </behavior>
  </serviceBehaviors>
</behaviors>
<bindings>
  <netTcpBinding>
    <binding>
      <security mode="None"/>
    </binding>
    <binding name="SecureNetTcp">
      <security mode="Message">
        <message clientCredentialType="UserName"/>
      </security>
    </binding>
  </netTcpBinding>
</bindings>
  <service
  name="AuthenticationProtectedService.Services.OneWayServiceB"
  behaviorConfiguration="SecureBehavior">
    <endpoint
        address=""
        binding="wsHttpBinding"
        contract="AuthenticationProtectedService.ServiceModel.IOneWayServiceB">
    </endpoint>
  </service>
  <service
  name="AuthenticationProtectedService.Services.DuplexServiceB" behaviorConfiguration="SecureBehavior">
    <endpoint
        address=""
        binding="netTcpBinding"
        bindingConfiguration="SecureNetTcp"
        contract="AuthenticationProtectedService.ServiceModel.IDuplexServiceB">
    </endpoint>
    <endpoint address="mex" binding="mexTcpBinding" contract="IMetadataExchange"/>
  </service>
</services>
<serviceHostingEnvironment multipleSiteBindingsEnabled="true" />

最后,这是自定义授权管理器的实现(我也尝试过使用自定义证书验证程序,但函数从未运行过)

public class CertificateAuthorizationManager : ServiceAuthorizationManager
{
    protected override bool CheckAccessCore(OperationContext operationContext)
    {
        if (!base.CheckAccessCore(operationContext))
        {
            return false;
        }

        string thumbprint = GetCertificateThumbprint(operationContext);

        // I'd need to verify the thumbprint, but it is always null
        return true;
    }

    private string GetCertificateThumbprint(OperationContext operationContext)
    {
        foreach (var claimSet in operationContext.ServiceSecurityContext.AuthorizationContext.ClaimSets)
        {
            foreach (Claim claim in claimSet.FindClaims(ClaimTypes.Thumbprint, Rights.Identity))
            {
                string tb = BitConverter.ToString((byte[])claim.Resource);
                tb = tb.Replace("-", "");
                return tb;
            }
        }

        return null;
    }
}

我认为问题可能出在服务配置上的nettcpbinding.Security.Message节点的clientCredentialType属性中,但我没有看到同时使用带有Message安全性的Certificate和Username的选项。

感谢任何帮助,谢谢

备注:项目的具体目标是对服务器设置和系统中的一般情况产生非常低的影响,因此如果可能,还应避免使用SSL。

1 个答案:

答案 0 :(得分:0)

尝试此链接http://msdn.microsoft.com/en-us/library/ms733099.aspx ...它可能会解决您的问题,您可以根据需要为相同的绑定类型设置不同的绑定配置,并根据需要将其关联到不同的端点。