使用支持流式传输的basicHttpBinding保护WCF服务

时间:2009-05-10 14:18:38

标签: wcf wcf-security

我的问题是关于安全访问仅向我们公司的内部用户公开的WCF服务的最佳(也称为“最不痛苦”)方式。目标是确保只通过我们每个用户安装的单个Windows窗体应用程序访问该服务。调用该服务时,我希望该服务能够验证它是否已从允许的应用程序中调用。

要保护的服务使用basicHttpBinding,它支持流式传输,所以我相信我仅限于传输级安全性。

以下是我服务配置文件中<bindings><services>部分的简化版本。

<bindings>
  <basicHttpBinding>
    <binding name="Service1Binding" transferMode="Streamed"/>    
  </basicHttpBinding>
</bindings>

<services>
    <service name="WCFServiceSecurity.Service1" 
        behaviorConfiguration="WCFServiceSecurity.Service1Behavior">
        <endpoint address=""
            binding="basicHttpBinding"
            contract="WCFServiceSecurity.IService1"
            bindingConfiguration="Service1Binding"/>
        <endpoint address="mex" binding="mexHttpBinding" contract="IMetadataExchange"/>
    </service>
</services>

有人可以提供一些详细信息,说明我需要采取哪些措施来实施此服务的安全性吗?

注意:我是WCF的新手并且根本不熟悉安全性,所以如果我没有提供足够的详细信息,请告诉我。

更新

作为suggested by marc_s,我想使用某种用户名/密码机制来保护WCF服务。这为答案提供了更多的方向,但我仍然在如何实际执行此操作时有些模糊。

因为我的服务需要启用流媒体,所以我必须使用basicHttpBinding和传输级安全性(对吗?);此外,我的服务中包含的方法只能接受Stream对象。

考虑这些限制以及我使用用户名/密码验证的优先选择......

  • 如何修改服务的配置文件以强制提供用户名/密码凭据?
  • 我的服务将如何验证提供的凭据?
  • 我的客户端应用程序在拨打电话时如何通过服务凭证?
  • 这是否需要使用SSL,如果是这样,所有客户端计算机是否也需要证书?

更新

在解释了我向老板提供此服务后遇到的麻烦之后,我获准尝试Windows身份验证路由。可悲的是,我没有幸运用我的流媒体服务(argh)实现这种类型的身份验证。在做出适当的更改后(按照here概述 - 唯一的例外是我的transferMode="Streamed")并访问我的服务,我收到了以下错误:

  

HTTP请求流不能与HTTP身份验证结合使用。禁用请求流或指定匿名HTTP身份验证。

然后我偶然发现了以下引用here,其中提供了一些澄清:

  

您无法进行传输身份验证。流式传输。如果必须使用HTTP请求流,则必须在没有安全性的情况下运行。      

安全的工作方式是:

     

WCF客户端向服务器发出http请求。

     

服务器回答说:“您未获得授权,请向我发送基本/摘要/等凭证。”

     

客户端获取该响应并使用已添加的凭据重新发送其消息。

     

现在,服务器获取消息,验证凭据,然后继续。   请求Streaming不适用于该安全模式。如果确实如此,它会非常慢,因为客户端会发送整个流,从服务器获取未经授权的消息,然后它必须使用凭据重新发送整个流。

所以现在我正在寻找意见,您如何保护启用流媒体的WCF服务?如前所述,某种用户名/密码机制将是首选。随意在这个框外思考...

任何帮助非常赞赏!

6 个答案:

答案 0 :(得分:6)

好吧,我在处理这个问题时发现了许多围绕安全性/流媒体的问题。 hack(呃...嗯......解决方法)我最终还是创建了一个新的DataContract,它继承了MemoryStream,并用BaseStream属性(用于保存我想要的流数据)和适当的属性来装饰它。简单认证。

以下是生成的DataContract:

[DataContract]
[KnownType( typeof( MemoryStream ) )] 
public class StreamWithCredentials : MemoryStream
{
    [DataMember]
    public Stream BaseStream { get; set; }

    [DataMember]
    public string Username { get; set; }

    [DataMember]
    public string Password { get; set; }
}

上面的DataContract最终成为我服务方法的输入参数。我的服务采取的第一个操作是根据已知的有效值对提供的凭据进行身份验证,并在适当时继续。

现在我知道这是最安全的选项,但我的指示是避免使用SSL(我甚至不确定是否可能无论如何 - 正如所述here )这个内部过程。

话虽如此,这是我能提出的上述问题的最佳解决方案,希望这有助于其他任何受此问题困扰的人。

感谢所有回复的人。

答案 1 :(得分:1)

你可以做很多事情:

  • 将证书添加到允许使用您的服务的每台计算机上,并检查该证书。这只允许您排除“未经授权”的计算机 - 您不能将其限制为特定的应用程序
  • 与上述相同,但包含winforms app中嵌入的证书并从那里发送(不要将其存储在机器的证书库中)
  • 需要一个用户名/密码,只有您的特定应用知道并且可以传输到您的服务;例如其他人无法提供适当的凭证

编辑2:好的,所以用户名/密码方法似乎失控了....如果您只有基本传输安全性(SSL)进行基本保护,然后使用MessageContract来定义SOAP消息的标题和正文,在标题中包含特定值,然后只检查服务标题中元素的存在?

类似的东西:

[DataContract]
class YourRequestData
{
 ...
}

[MessageContract]
public class YourRequest
{
  [MessageBodyMember]
  public YourRequestData bodyData { get; set; }

  [MessageHeader]
  public string AppThumbprint { get; set; }
}

然后在代码中的服务器上检查AppThumbprint代码的存在和有效性:

public Stream RequestStream(YourRequest request)
{
  if(AppThumbprintIsValid(request.AppThumbprint))
  {
     .... begin your streaming
  }
}

这可能最终比用户名/密码安全方案容易得多。

马克

答案 2 :(得分:1)

如果您想使用basicHttpBinding(对于互操作),您只能在消息级别传递您的凭据。您必须将安全配置设置为TransportWithMessageCredential

要做到这一点,你必须创建一个SSL通道,所以你需要一个服务器端的证书,而且一个客户不需要一个证书。

答案 3 :(得分:1)

如果我错了,请纠正我,但是:

如果您使用WCf服务的表单身份验证(在asp.net上),只需在您的服务中添加一个登录方法,在其中创建所需的cookie(formsAuthentication.Authenticate())。随着响应自动发送,客户端可以调用流API而无需额外的参数(要求它是STREAM),并且您可以在关闭返回流之前检查流API中的身份。

至于保护对整个WCF的访问,我觉得在.net应用程序中嵌入证书是一种可行的方法。他们将不得不使用你的应用来实现它。

你可以告诉asp.net/wcf不要提供wsdl,或者更准确地说,不要自动生成wsdl。没有wsdl访问权限,他们就很难生成代理....

答案 4 :(得分:1)

可以对Streaming和SSL使用Windows身份验证,但必须使用TransportWithMessageCredential

<basicHttpBinding>
    <binding name="FileService.FileServiceBinding" maxReceivedMessageSize="2147483647" maxBufferSize="2147483647" transferMode="Streamed">
        <readerQuotas maxDepth="2147483647" maxStringContentLength="2147483647" maxArrayLength="2147483647" maxBytesPerRead="2147483647" maxNameTableCharCount="2147483647" />
        <security mode="TransportWithMessageCredential">
            <transport clientCredentialType="Windows" />
        </security>
    </binding>
</basicHttpBinding>

您需要设置代码proxy.ClientCredentials.UserName.UserNameproxy.ClientCredentials.UserName.Password

答案 5 :(得分:0)

如果这将是一个存在于Intranet上的应用程序,则最简单的方法是在Active Directory中创建一个新组,并且只允许该组的成员使用该服务。

您可以使用以下内容添加身份验证(使用Windows凭据):

<basicHttpBinding> 
 <security mode="TransportCredentialOnly"> 
  <transport clientCredentialType="Windows" /> 
 </security> 
</basicHttpBinding>

然后可以通过将接口修改为您的服务方法进行授权:

<PrincipalPermission(SecurityAction.Demand, Role:="MyAppsUsers")> _ 
Public Function MyMethod() As String Implements IService.MyMethod

这是WCF中安全性的良好链接。它最后有很多方法(标题为'如何 - 使用带有Windows身份验证和TransportCreditals的basicHttpBinding'可能对您有用)。
Wcf Secruity

[免责声明:我也是WCF的新手并没有做过这个确切的案例,所以如果稍微偏离就道歉!]

相关问题
最新问题