WCF授权策略:冒充问题
我有以下情况(大纲):
授权Webservice
该服务被调用并验证(通过执行给定的业务逻辑)用户是否有效。
自定义商业Web服务
这是为业务应用程序创建的一些Web服务,内部调用“授权Web服务”以验证调用业务Web服务的帐户。
我通过在“Custom Business Webservice”中使用WCF服务授权来实现这一逻辑。基本上我配置了
<serviceAuthorization principalPermissionMode="Custom">
<authorizationPolicies>
<add policyType="MyCompany.Authorization.WCF.AuthorizationPolicy, MyCompany.AuthorizationDll"/>
</authorizationPolicies>
</serviceAuthorization>
AuthorizationPolicy在内部调用“授权Web服务”。
问题
问题是我需要模仿我的“自定义商业Web服务”的调用者。客户端身份是正确的,但WindowsIdentity是应用程序池用户的身份
请注意,如果我在AuthorizationPolicy的[OperationBehavior(Impersonation = ImpersonationOption.Required)]方法中使用Evaluate(...)但它不,则模拟会在服务中运行。
(显然,我使用Windows身份验证凭据使用传输级安全性)
在进入IAuthorizationPolicy.Evaluate(...)方法之前,任何人都有关于如何模仿调用者的提示吗?
1 个答案:
答案 0 :(得分:3)
总是感觉有点奇怪,回答我自己的问题,但为了分享我与其他人的共识,我将在这里发布“解决方案”。
我会尽量做空:
- 无法在IAuthorizationPolicy.Evaluate(...)中假冒。 (S4U2Self可以工作,没有测试,因为我没有那个选项)
正如我已经提到的,通过放置[OperationBehavior(Impersonation = ImpersonationOption.Required)]来模拟webservice操作中的调用者。因此,调用我的自定义Web服务来检索主体作为我的服务操作中的第一个语句将始终有效。然而,我不喜欢这种方法
作为替代方案,我试图找到WCF服务操作的调用链中的最新可能点,其中模拟最终起作用。这是我找到OperationInvoker。
下图说明了在呼叫到达实际操作之前完成的调度顺序(取自here):
参数检查为时尚早,模拟尚未奏效,但幸运的是在Operation Invoker中有效。因此,通过编写自定义操作调用程序并将所有内容包装到自定义操作行为属性中,我能够优雅地解决问题。
有关blog post I wrote的更多信息。
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?