使用https上的用户名为WS-Security配置WCF

时间:2010-12-28 05:36:47

标签: wcf ws-security

我正在尝试使用WCF客户端通过https调用基于Java的,基于WS-Security的Web服务,并且似乎无法获得正确的安全配置。使用SvcTraceViewer,我没有看到我尝试过的任何安全配置的预期安全标头。

我最近的安全配置是:

    <wsHttpBinding>
        <binding name="MySoapBinding" closeTimeout="00:01:00"
            openTimeout="00:01:00" receiveTimeout="00:10:00" sendTimeout="00:01:00"
            allowCookies="false" bypassProxyOnLocal="false" hostNameComparisonMode="StrongWildcard"
            maxBufferPoolSize="524288" maxReceivedMessageSize="65536"
            messageEncoding="Text" textEncoding="utf-8"
            useDefaultWebProxy="true">
            <readerQuotas maxDepth="32" maxStringContentLength="8192" maxArrayLength="16384"
                maxBytesPerRead="4096" maxNameTableCharCount="16384" />
          <security mode="TransportWithMessageCredential">
            <transport/>
            <message clientCredentialType="UserName" negotiateServiceCredential="false" establishSecurityContext="false"/>
          </security>
        </binding>
    </wsHttpBinding>

我在这样的代码中设置了用户名/密码:

    svc.ClientCredentials.UserName.UserName = TestBase.userName;
    svc.ClientCredentials.UserName.Password = TestBase.password;

Java Web服务需要这样的安全标头:

<wsse:Security soap:mustUnderstand="1">
<wsu:Timestamp wsu:Id="Timestamp-bf41c571-7d32-438c-937e-7d83a3ac2d14">
<wsu:Created>2010-12-27T16:43:16Z</wsu:Created>
<wsu:Expires>2010-12-27T16:48:16Z</wsu:Expires>
</wsu:Timestamp>
<wsse:UsernameToken xmlns:wsu="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd" wsu:Id="SecurityToken-4c9b30b1-d697-4c64-89cb-a6d7e857aebf">
<wsse:Username>MyUserName</wsse:Username>
<wsse:Password Type="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#PasswordText">MyPassword</wsse:Password>
<wsse:Nonce>pzLdD4S+OCDG6Ut9Ur1oOQ==</wsse:Nonce>
<wsu:Created>2010-12-27T16:43:16Z</wsu:Created>
</wsse:UsernameToken>
</wsse:Security>

我看不到任何安全标题。

我已经在网上阅读了很多关于传输与消息级安全性和安全模式的内容,但似乎无法找到正确的选项集。我该如何配置

的绑定
  • https communication
  • SOAP标头中的用户名/ passowrd,纯文本(WS-Security)
  • 所需的时间戳
  • 需要Nonce

1 个答案:

答案 0 :(得分:3)

原来Rick Strahl几乎完全一样。事实证明,SvcTraceViewer 显示实际的线上消息。然而,他的博客概述了通过查尔斯(或我的Fiddler 2免费)代理的程序,以查看实际的信息。

事实证明,我正在调用我正在调用的Web服务所需的Timestamp元素,但是如果我这样做,WCF在响应中需要一个Timestamp(我没有得到)。错误消息非常具有误导性。幸运的是,我可以更改服务以返回时间戳。

http://www.west-wind.com/weblog/posts/205198.aspx