我有一个托管在IIS中的WCF服务。在服务上,我在服务中有大约20种方法。我想用用户名/密码来保护这些方法。我无法控制调用该服务的客户端,因此无法在客户端上安装证书。我们的服务充当平台,包含所有用户配置文件信息,包括登录信息。
我认为我希望客户端对WCF服务上的Authenticate(用户名,密码)方法进行一次身份验证,获取授权令牌,并将该令牌传递给后续调用。 (类似于Asp.net成员资格提供者使用表单身份验证会话)。如果可能的话,我不希望客户端必须为每个方法调用传递用户名/密码。这是正确的模式吗?是否有更好的方法可以使用标准WCF功能使此功能正常工作?有没有人有任何示例配置/代码来显示使其正常工作的正确方法?
答案 0 :(得分:4)
WCF不提供开箱即用的每个操作身份验证。如果您想要安全和不安全的操作,最简单的方法是将它们分成两个服务合同,并使每个服务合同具有不同的安全设置。
您对授权令牌的想法已经在WCF中实现,但在您的场景中,您必须使用wsHttpBinding,UserName客户端凭据,SecurityContext和服务证书。
<system.serviceModel>
<behaviors>
<serviceBehaviors>
<behavior name="securedService">
<serviceCredentials>
<serviceCertificate x509FindType="FindBySubjectName" findValue="ServerCert"
storeLocation="LocalMachine" storeName="My"/>
</serviceCredentials>
</behavior>
</serviceBehaviors>
</behaviors>
<bindings>
<wsHttpBinding>
<binding name="Secured">
<security mode="Message">
<message clientCredentialType="UserName" establishSecurityContext="true" />
</security>
</binding>
</wsHttpBinding>
</bindings>
<services>
<service name="MessageSecurity.Service" behaviorConfiguration="securedService">
<endpoint address="" binding="wsHttpBinding" bindingConfiguration="Secured"
contract="MessageSecurity.IService">
</endpoint>
</service>
</services>
</system.serviceModel>
SecurityContext是基于WS-SecureConversation的可互操作功能。它只需要在服务代理实例的第一次调用中传递用户名和密码(在WCF中,这是完全透明的 - 客户端代理实例维护安全上下文)。以下呼叫仅使用首次呼叫期间发出的安全令牌。默认情况下,在wsHttpBinding中打开SecurityContext。
此配置还将加密和签名消息 - 它是全功率WS-Security。任何其他方法都取决于你。你必须自己完全实现它。
您提到您无法控制客户。这并不意味着您不能使用证书。如果您使用证书,客户有责任在他们想要拨打您的服务时获取证书。它与控制客户端无关,与证书的信任无关 - 对于公共Web服务,这意味着从受信任的证书颁发机构购买证书。
此外,可以在不安装服务证书的情况下获得服务证书。第一种可能性是使用证书作为端点身份。在这种情况下,编码证书是WSDL的一部分:
<wsdl:service name="Service">
<wsdl:port name="WSHttpBinding_IService" binding="tns:WSHttpBinding_IService">
<soap12:address location="http://localhost:1432/Service.svc" />
<wsa10:EndpointReference>
<wsa10:Address>http://localhost:1432/Service.svc</wsa10:Address>
<Identity xmlns="http://schemas.xmlsoap.org/ws/2006/02/addressingidentity">
<KeyInfo xmlns="http://www.w3.org/2000/09/xmldsig#">
<X509Data>
<X509Certificate>MIICmzCCAYegAwI....<X509Certificate>
</X509Data>
</KeyInfo>
</Identity>
</wsa10:EndpointReference>
</wsdl:port>
</wsdl:service>
如果指定了配置了服务证书的wsHttpBinding端点并且未设置其标识,则会自动执行此操作。这种方法的缺点是证书过期。如果更改过期证书,则必须更新所有客户端。
第二种可能性是启用服务凭证协商:
<bindings>
<wsHttpBinding>
<binding name="Secured">
<security mode="Message">
<message clientCredentialType="UserName" negotiateServiceCredential="true"/>
</security>
</binding>
</wsHttpBinding>
</bindings>
默认情况下会启用协商。它使用TLSNego协议在安全通信开始之前交换服务凭证(证书)。这种方法的缺点是所有平台都不支持TLSNego。
答案 1 :(得分:1)
仅供参考:如果您想使用内置的WCF自定义用户/传递子系统,WCF 4.0引入了Allow Insecure Transport property。这允许您使用没有证书等的WCF安全子系统...这在您考虑保护消息传递的情况下很有用,即使WCF认为它不是(例如在设备级别上完成SSL而不是网络服务器级别,或使用IP过滤时。)