我有一个充当WCF客户端的ASP.NET MVC / WebApi应用程序。我的WCF服务通过ClaimsPrincipalPermission进行授权,如果当前用户和数据的组合不匹配(例如用户尝试访问其他用户的数据),则另外抛出SecurityException。
我在我的过滤器中将其作为SecurityAccessDeniedException捕获并返回状态代码403。
但这仅适用于涉及单跳的通信。如果服务本身与另一项服务进行通信,则SecurityAccessDeniedException会在到达Web应用程序之前变为FaultException。
示例流程:
Web client --> Service A [SecurityException] --> [SecurityAccessDeniedException] Web
Web client --> Service A --> Service B [SecurityException]
--> [SecurityAccessDeniedException] Service A [FaultException] --> [FaultException] Web
我尝试实现处理IErrorHandler的{{1}},但我不能在那里抛出SecurityAccessDeniedException。
我有什么选择将SecurityException传播到Web客户端?
或者:我如何在我的错误处理程序中构造一条消息,然后客户端正确地将其解释为SecurityException?
答案 0 :(得分:0)
我现在使用IErrorHandler生成相应的FaultException。在调用者上,这会生成另一个SecurityAccessDeniedException,然后我可以使用相同的IErrorHandler等处理它。
public void ProvideFault(Exception error, MessageVersion version, ref Message message)
{
if (error is SecurityAccessDeniedException)
{
var code = FaultCode.CreateSenderFaultCode(
"FailedAuthentication",
"http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd");
var faultText = new FaultReasonText(error.Message, CultureInfo.CurrentCulture);
var faultException = new FaultException(new FaultReason(faultText), code);
MessageFault messageFault = faultException.CreateMessageFault();
message = Message.CreateMessage(version, messageFault, "FailedAuthentication"); // the last parameter might not be semantically correct...
}
}
我通过查看http://leastprivilege.com/2007/11/01/wcf-and-securityaccessdeniedexception/
得到了这个想法