没有客户端证书的WCF消息/方法安全性

时间:2011-01-26 16:52:45

标签: .net wcf web-services authentication basic-authentication

我有一个托管在IIS中的WCF服务。在服务上,我在服务中有大约20种方法。我想用用户名/密码来保护这些方法。我无法控制调用该服务的客户端,因此无法在客户端上安装证书。我们的服务充当平台,包含所有用户配置文件信息,包括登录信息。

我认为我希望客户端对WCF服务上的Authenticate(用户名,密码)方法进行一次身份验证,获取授权令牌,并将该令牌传递给后续调用。 (类似于Asp.net成员资格提供者使用表单身份验证会话)。如果可能的话,我不希望客户端必须为每个方法调用传递用户名/密码。这是正确的模式吗?是否有更好的方法可以使用标准WCF功能使此功能正常工作?有没有人有任何示例配置/代码来显示使其正常工作的正确方法?

2 个答案:

答案 0 :(得分:4)

WCF不提供开箱即用的每个操作身份验证。如果您想要安全和不安全的操作,最简单的方法是将它们分成两个服务合同,并使每个服务合同具有不同的安全设置。

您对授权令牌的想法已经在WCF中实现,但在您的场景中,您必须使用wsHttpBinding,UserName客户端凭据,SecurityContext和服务证书。

  <system.serviceModel>
    <behaviors>
      <serviceBehaviors>
        <behavior name="securedService">
          <serviceCredentials>
            <serviceCertificate x509FindType="FindBySubjectName" findValue="ServerCert" 
                                storeLocation="LocalMachine" storeName="My"/>
          </serviceCredentials>
        </behavior>
      </serviceBehaviors>
    </behaviors>
    <bindings>
      <wsHttpBinding>
        <binding name="Secured">
          <security mode="Message">
            <message clientCredentialType="UserName" establishSecurityContext="true" />
          </security>
        </binding>
      </wsHttpBinding>
    </bindings>
    <services>
      <service name="MessageSecurity.Service" behaviorConfiguration="securedService">
        <endpoint address="" binding="wsHttpBinding" bindingConfiguration="Secured"
                  contract="MessageSecurity.IService">
        </endpoint>
      </service>
    </services>
  </system.serviceModel>

SecurityContext是基于WS-SecureConversation的可互操作功能。它只需要在服务代理实例的第一次调用中传递用户名和密码(在WCF中,这是完全透明的 - 客户端代理实例维护安全上下文)。以下呼叫仅使用首次呼叫期间发出的安全令牌。默认情况下,在wsHttpBinding中打开SecurityContext。

此配置还将加密和签名消息 - 它是全功率WS-Security。任何其他方法都取决于你。你必须自己完全实现它。

您提到您无法控制客户。这并不意味着您不能使用证书。如果您使用证书,客户有责任在他们想要拨打您的服务时获取证书。它与控制客户端无关,与证书的信任无关 - 对于公共Web服务,这意味着从受信任的证书颁发机构购买证书。

此外,可以在不安装服务证书的情况下获得服务证书。第一种可能性是使用证书作为端点身份。在这种情况下,编码证书是WSDL的一部分:

<wsdl:service name="Service">
  <wsdl:port name="WSHttpBinding_IService" binding="tns:WSHttpBinding_IService">
    <soap12:address location="http://localhost:1432/Service.svc" /> 
    <wsa10:EndpointReference>
      <wsa10:Address>http://localhost:1432/Service.svc</wsa10:Address> 
      <Identity xmlns="http://schemas.xmlsoap.org/ws/2006/02/addressingidentity">
        <KeyInfo xmlns="http://www.w3.org/2000/09/xmldsig#">
          <X509Data>
            <X509Certificate>MIICmzCCAYegAwI....<X509Certificate> 
          </X509Data>
        </KeyInfo>
      </Identity>
    </wsa10:EndpointReference>
  </wsdl:port>
</wsdl:service>

如果指定了配置了服务证书的wsHttpBinding端点并且未设置其标识,则会自动执行此操作。这种方法的缺点是证书过期。如果更改过期证书,则必须更新所有客户端。

第二种可能性是启用服务凭证协商:

<bindings>
  <wsHttpBinding>
    <binding name="Secured">
      <security mode="Message">
        <message clientCredentialType="UserName" negotiateServiceCredential="true"/>
      </security>
    </binding>
  </wsHttpBinding>
</bindings>

默认情况下会启用协商。它使用TLSNego协议在安全通信开始之前交换服务凭证(证书)。这种方法的缺点是所有平台都不支持TLSNego。

答案 1 :(得分:1)

仅供参考:如果您想使用内置的WCF自定义用户/传递子系统,WCF 4.0引入了Allow Insecure Transport property。这允许您使用没有证书等的WCF安全子系统...这在您考虑保护消息传递的情况下很有用,即使WCF认为它不是(例如在设备级别上完成SSL而不是网络服务器级别,或使用IP过滤时。)