Question

我是 WCF 的新手。我习惯了* .asmx，但它会被弃用，所以我决定深入研究WCF。我想为我的服务进行简单的用户名+密码身份验证，但在网络上的任何地方都是关于X509证书的。我想在 IIS 中托管我的服务，因此我会在那里启用 SSL 。

我已经在WCF上关注了一些hello world教程，但是我对所有新东西，datacontract，OperationContract，ServiceContract，所需接口，web.config中的所有绑定，basicHttpBinding等等都感到困惑。

我目前在File -> New project -> Visual C# -> WCF -> WCF Service Application

我有一种你好世界的应用程序，并想知道什么是最好和最简单的方法来保护它。我已经读了很多不同的东西，我只是不知道对我的情况最好的是什么。

IIS中托管的服务将在互联网上提供（启用了ssl）以及我想发送给几个可信赖的人的用户名和密码。

请告诉我最简单和最合适的安全措施。

修改我试着关注这篇博文： http://codebetter.com/petervanooijen/2010/03/22/a-simple-wcf-service-with-username-password-authentication-the-things-they-don-t-tell-you/ 但是我发布元数据时遇到了麻烦。我认为我的web.config

中存在错误

<system.serviceModel>
    <services>
        <service behaviorConfiguration="WcfServiceSimStars.MyServiceTypeBehaviors" name="FarmService.CustomerDeskOperations">
            <endpoint address="" binding="wsHttpBinding" bindingConfiguration="RequestUserName" contract="WcfServiceSimStars.ISimService" />
            <endpoint address="mex" binding="mexHttpBinding" contract="IMetadataExchange"/> 
        </service>
    </services>
    <bindings>
        <wsHttpBinding>
            <binding name="RequestUserName" >
                <security mode="Message">
                    <message clientCredentialType="UserName"/>
                </security>
            </binding>
        </wsHttpBinding>
    </bindings>
    <client>
        <endpoint address="http://mytestserver/simservice.svc" binding="WSHttpBinding"
            bindingConfiguration="WSHttpBinding_ISimService" contract="WcfServiceSimStars.ISimService"
            name="WSHttpBinding_ISimService" />
    </client>
    <behaviors>
        <serviceBehaviors>
            <behavior name="WcfServiceSimStars.MyServiceTypeBehaviors">
                <serviceMetadata httpGetEnabled="true"/>
                <serviceCredentials>
                    <userNameAuthentication userNamePasswordValidationMode="Custom" customUserNamePasswordValidatorType="WcfServiceSimStars.UserValidatorr, WcfServiceSimStars" />
                    <serviceCertificate findValue="Farm" storeLocation="LocalMachine" storeName="TrustedPeople" x509FindType="FindBySubjectName" />
                </serviceCredentials>
            </behavior>
        </serviceBehaviors>
    </behaviors>
    <serviceHostingEnvironment multipleSiteBindingsEnabled="true" />
</system.serviceModel>

和我的解决方案资源管理器：

solution explorer

编辑2： 我尝试使用visual studio tools菜单中的Microsoft Service Configuration Editor打开我的web.config并收到此错误：

Microsoft Service Configuration Editor

Answer 1

如果您想使用SSL，则需要使用X509证书。

如果要在IIS上托管并启用SSL，则需要提供证书，出于调试目的，您可以从IIS中生成自签名证书。

在IIS中进行设置后，您需要编辑WCF绑定以启用SSL。

您需要使用安全模式传输集绑定

<basicHttpBinding>
    <binding name="SecureBinding" receiveTimeout="01:00:00">
      <security mode="Transport" />
    </binding>
</basicHttpBinding>

和安全行为，以下指定将使用的ssl证书。

<behaviors>
  <serviceBehaviors>
    <behavior name="SecureBehavior">
      <serviceMetadata />
      <serviceCredentials>
        <serviceCertificate findValue="localhost" storeLocation="LocalMachine" storeName="My" x509FindType="FindBySubjectName" />
      </serviceCredentials>
    </behavior>
    <behavior name="StandardBehavior">
    </behavior>
  </serviceBehaviors>
</behaviors>

然后您需要创建一个安全的端点

<services>
  <service behaviorConfiguration="SecureBehavior" name="secureService">
    <endpoint address="" binding="basicHttpBinding" bindingConfiguration="SecureBinding" contract="<Your webservice class name including namespace>" />
    <endpoint address="mex" binding="mexHttpsBinding" contract="IMetadataExchange" />
  </service>

这应该可以让您在托管后在您的网站上使用SSL。

要从您的客户端连接，您将使用以下（假设C＃）

BasicHttpBinding binding = new BasicHttpBinding();
binding.Security.Mode = BasicHttpSecurityMode.Transport;
EndPointAddress endpointAddress = new EndpointAddress("Your Service address (including HTTPS)");
Client svc = new Client(binding,endpointAddress)

另一种方法是使用加密而不是SSL。在客户端加密密码并将加密数据发送到服务，但我不确定这样做的最佳做法。

希望这有帮助

修改

如果您想向服务发送用户名和密码，您只需在服务中创建新方法。

您将在接口文件（IService1.cs）
中定义操作合同
[OperationContract] bool Login(string password,string username);

然后你将在服务类（Service1.svc）中创建方法

public bool Login(string password,string username) { //Your Code to check the username and password here }

这可能是最简单的方法。另一种更复杂的方法是使用自定义成员资格提供程序对用户进行身份验证。

您需要创建一个继承MembershipProvider的类并覆盖ValidateUser方法

public class SampleMembershipProvider : MembershipProvider { public override bool ValidateUser(string username, string password) { //check the username and password here } //No need to override the other methods just leave them .... }

现在您需要告诉webconfig使用表单身份验证并使用您的自定义成员资格提供程序

<authentication mode="Forms" /> <membership defaultProvider="CustomMembershipProvider"> <providers> <clear /> <add name="CustomMembershipProvider" type="SampleApplication.CustomMembershipProvider" /> </providers> </membership>

现在您已设置了会员资格提供程序，您可以将登录代码从上面更改为以下代码，此代码将对用户进行身份验证并设置授权cookie。

public bool Login(string password,string username) { if (Membership.ValidateUser(username, password)) { FormsAuthentication.SetAuthCookie(username, false); return true; } return false; }

现在，当您在服务上调用方法时，您可以检查用户是否已通过身份验证，如果是，则可以运行该命令，否则不会。

bool DoWork() { if (HttpContext.Current.User.Identity.IsAuthenticated) { //do something return true; } else { return false; } }

如果您需要我澄清任何事情，请告诉我

WCF安全性，没有证书的用户名密码

1 个答案: