不将凭据传递给WCF服务,从而产生401

时间:2013-09-30 21:24:36

标签: c# wcf iis-7 impersonation

我正在撕掉我的头发,我有一个WCF服务,我可以通过浏览器调用它工作正常,当我用Web应用程序通过以下方法调用它时,我得到一个( 401)未经授权错误。并且该服务不会被调用。更重要的是,当我从本地计算机运行我的Web应用程序(使用IIS Express的调试模式)指向我的开发服务器(IIS7)时它可以工作,但是当我将我的Web应用程序部署到开发服务器并将其指向开发服务器服务时没有401错误。我认为这与IIS7有关,但我不是百分百肯定,而且帮助会非常有用。

我在线查看答案,但到目前为止,我找到的最好的是this

我的服务电话如下:

var request = (HttpWebRequest) WebRequest.Create(url);
request.Method = "GET";
request.ContentType = "application/json; charset=utf-8";
request.AuthenticationLevel = AuthenticationLevel.MutualAuthRequested;
request.Credentials = CredentialCache.DefaultCredentials;

WebResponse responce = request.GetResponse();
Stream reader = responce.GetResponseStream();

var sReader = new StreamReader(reader);
string outResult = sReader.ReadToEnd();
sReader.Close();

var result = (T) JsonConvert.DeserializeObject(outResult, typeof (T));
return result;

我对服务的配置如下所示:

  <service name="RGMPServices.Householding.Services.AccountService" behaviorConfiguration="Default">
    <endpoint address="" kind="webHttpEndpoint" endpointConfiguration="SecuredHttpEndpointBinding" contract="RGMPServices.Householding.Contracts.IAccountService" />
  </service>

  <service name="RGMPServices.Householding.Services.HouseholdService" behaviorConfiguration="Default">
    <endpoint address="" kind="webHttpEndpoint" endpointConfiguration="SecuredHttpEndpointBinding" contract="RGMPServices.Householding.Contracts.IHouseholdService" />
  </service>

  <service name="RGMPServices.Householding.Services.UserService" behaviorConfiguration="Default">
    <endpoint address="" kind="webHttpEndpoint" endpointConfiguration="SecuredHttpEndpointBinding" contract="RGMPServices.Householding.Contracts.IUserService" />
  </service>
</services>

<behaviors>
  <endpointBehaviors>
    <behavior name="webBehaviour">
      <webHttp />
    </behavior>
  </endpointBehaviors>
  <serviceBehaviors>
    <behavior name="Default">
      <serviceMetadata httpGetEnabled="true" httpsGetEnabled="true" />
      <serviceDebug includeExceptionDetailInFaults="true" />
    </behavior>
  </serviceBehaviors>
</behaviors>

<standardEndpoints>
  <webHttpEndpoint>
    <standardEndpoint name="SecuredHttpEndpointBinding" helpEnabled="true" automaticFormatSelectionEnabled="true">
      <security mode="TransportCredentialOnly">
        <transport clientCredentialType="Windows" />
      </security>
    </standardEndpoint>
  </webHttpEndpoint>
</standardEndpoints>

我已经在客户服务调用上记录了一些日志,就在我调用服务之前,响应是:

  

DEBUG 2013-10-01 13:15:13,569 452ms ServiceGetSingle - 传递登录:MYLANDOMAIN \ MYLANUSERNAME

     

错误2013-10-01 13:15:13,631 514ms ServiceGetSingle - 错误使用用户凭据登录ServiceGetSingle登录:MYLANDOMAIN \ MYLANUSERNAME   System.Net.WebException:远程服务器返回错误:(401)未经授权。      在System.Net.HttpWebRequest.GetResponse()      at Householding.Common.ServiceHelper.ServiceGetSingle [T](String url)

代码如下:

logger.Debug("Passing Login: "
    + System.Security.Principal.WindowsIdentity.GetCurrent().Name)

即使我将我的网站的AppPool设置为我的域帐户,它仍然没有授权我访问WCF服务,但是再次:它适用于浏览器。太奇怪了!

5 个答案:

答案 0 :(得分:1)

Dev服务器上的默认凭据是什么?尝试在那里做一个日志,看看你得到了什么。

这是我怀疑的:在本地运行,凭据是你的窗口信誉。当您从dev调用开发服务器时,凭据将是网站运行的任何帐户。如果该特定帐户无法访问,那么它会爆炸。

答案 1 :(得分:1)

他们之前说过,这看起来像是冒充问题。 您是否尝试使用“运行方式”启动客户端程序以更改凭据?

此外,您可以更改此行代码

request.Credentials = CredentialCache.DefaultCredentials;

request.Credentials = new NetworkCredential("MyUsername", "MyPassword");

看看它是否有效。您还需要在Web服务器上使用“MyPassword”创建帐户“MyUserName”以使其正常工作。

答案 2 :(得分:1)

当经过身份验证的用户无法访问托管WCF服务的物理路径时,可能会导致这些错误。在开发服务器上,打开IIS管理器并导航到该服务的虚拟目录。在操作栏的右侧,单击“基本设置”。在“物理路径”文本框下方,单击“连接为...”。选择“特定用户”并尝试将其设置为您知道对开发服务器上的物理文件夹具有权限的用户帐户。通常,这将是一个密码不会过期的服务帐户。

答案 3 :(得分:1)

从浏览器运行时,浏览器正在发送您的身份验证凭据。此外,iis express将以登录用户身份运行,因此这也是发送您的凭据。 Iis不同,它将作为本地帐户运行。即使您在前端iis上进行了身份验证,也不会将其传递给后端。 Windows模拟令牌在允许的跳数方面受到限制,通常为0.这样做是为了防止您正在做的事情。  如果您希望前端身份验证流向后端,那么您应该自己进行身份验证并在途中获取用户/密码。或者,如果您自己进行身份验证,则可以创建一个模拟令牌,允许跳转到另一台计算机,它应该可以正常工作。

答案 4 :(得分:1)

使用Integrated Windows Authentication(IWA)和Kerberos时,您可能会成为双跳问题的受害者。第一跳是从您的浏览器到Web应用程序;第二跳是从您的Web应用程序到WCF服务。

以下是一些可以更全面地解释问题的资源,可能会提供解决方案:

您可以配置Active Directory以支持Kerberos delegation(通常基础架构人员不喜欢这样),或者您可以关闭模​​拟并使用“服务”帐户来处理Web应用程序和IIS应用程序池代表最终用户使用WCF服务进行身份验证。