第八篇:WCF安全
WCF提供了非常丰富的加密机制与审核机制,以保证对外提供的服务安全可靠。本文是简单教程,所以只挑其中的一小部分来聊聊。
先来看看最简单的Windows认证。
所谓Windows认证,是指客户端访问时,要提供服务端认可的Windows用户身份。
1、服务端
安全配置主要体现在App.config中:
- <?xml version="1.0" encoding="utf-8" ?>
- <configuration>
- <system.serviceModel>
- <services>
- <service name="Server.DataProvider">
- <!-- 本例中使用netTcpBinding,注意指定了一个名为tcpBinding的设置,见下文 -->
- <endpoint address="" binding="netTcpBinding" contract="Server.IData" bindingConfiguration="tcpBinding" />
- <host>
- <baseAddresses>
- <add baseAddress="net.tcp://localhost:8081/wcf" />
- </baseAddresses>
- </host>
- </service>
- </services>
- <!--客户端的身份认证是设置在bindings节中的-->
- <bindings>
- <!--注意此节要与前面的binding匹配,表示为netTcpBinding方式的绑定进行配置-->
- <netTcpBinding>
- <!--定义一个名为tcpBinding的设置,就是前面endpoint中用到的-->
- <binding name="tcpBinding">
- <!--使用Message方式的加密,至于它与Transport方式的区别,可先忽略,后面再讲-->
- <security mode="Message">
- <!--指定客户端认证使用Windows方式-->
- <message clientCredentialType="Windows" />
- </security>
- </binding>
- </netTcpBinding>
- </bindings>
- </system.serviceModel>
- </configuration>
契约实现类我们修改一下,方便看到调用者的身份:
- using System;
- using System.ServiceModel;
- namespace Server
- {
- [ServiceBehavior]
- public class DataProvider : IData
- {
- public string SayHello()
- {
- //WindowsIdentity即代表访问者的身份标识
- return string.Format("Hello {0}", OperationContext.Current.ServiceSecurityContext.WindowsIdentity.Name);
- }
- }
- }
2、客户端
客户端要对应调整App.config:
- <?xml version="1.0" encoding="utf-8" ?>
- <configuration>
- <system.serviceModel>
- <client>
- <!--定义endpoint时指定使用特定的配置,另外这个IP是一会儿运行服务端的机器的IP-->
- <endpoint binding="netTcpBinding" contract="Server.IData" address="net.tcp://192.168.90.90:8081/wcf" name="DataProvider" bindingConfiguration="tcp" />
- </client>
- <!--客户端与服务端的bindings节设置一致-->
- <bindings>
- <netTcpBinding>
- <binding name="tcp">
- <security mode="Message">
- <message clientCredentialType="Windows" />
- </security>
- </binding>
- </netTcpBinding>
- </bindings>
- </system.serviceModel>
- </configuration>
然后是代码,要指定访问时客户端使用的用户名密码:
- using System;
- using System.ServiceModel;
- using System.ServiceModel.Channels;
- namespace Client
- {
- class Program
- {
- static void Main(string[] args)
- {
- //创建一个ChannelFactory,指定使用名为DataProvider的配置
- var factory = new ChannelFactory<Server.IData>("DataProvider");
- //指定用户名、密码,这个Test是服务端Windows上的一个普通帐户,如果加入了域,还要指定ClientCredential.Domain
- factory.Credentials.Windows.ClientCredential.UserName= "Test";
- factory.Credentials.Windows.ClientCredential.Password = "test";
- //创建Channel,并调用SayHello方法
- var proxy = factory.CreateChannel();
- Console.WriteLine(proxy.SayHello());
- ((IChannel)proxy).Close();
- }
- }
- }
其中的指定的用户名与密码是服务端存在的一个Windows用户。
OK,在两台机器上分别运行服务端和客户端,能够正常完成调用,输出“Hello Test-PC\Test”,这个Test-PC\Test就是我们调用时传递的用户身份,注意是“机器名\用户名”的形式,如果是AD环境,那么就是“域\用户名”的形式。
如果给定一个错误的用户名密码,则调用时会收到Exception:
- 未处理的异常: System.ServiceModel.Security.SecurityNegotiationException: 调用方未由服务进行身份验证。 ---> System.ServiceModel.FaultException: 无法满足对安全令牌的请求,因为身份验证失败。
- 在 System.ServiceModel.Security.SecurityUtils.ThrowIfNegotiationFault(Message message, EndpointAddress target)
- 在 System.ServiceModel.Security.SspiNegotiationTokenProvider.GetNextOutgoingMessageBody(Message incomingMessage, SspiNegotiationTokenProviderState sspiState)
是一个身份验证失败的异常。
用Windows帐户来做验证,其实是个挺麻烦的事情,只有较少的系统是这么做的,我们还是希望能用更通用的用户名密码来进行身份验证,下一篇我们就来看看如何做。
本文转自 BoyTNT 51CTO博客,原文链接:http://blog.51cto.com/boytnt/815117,如需转载请自行联系原作者
