WCF BasicHttpBinding 安全解析(6)Digest验证(IIS宿主)

本文涉及的产品
公共DNS(含HTTPDNS解析),每月1000万次HTTP解析
云解析 DNS,旗舰版 1个月
全局流量管理 GTM,标准版 1个月
简介:

Digest验证方式在Basic验证方式的基础上增加了摘要信息,采用的是挑战-应答模式。Digest验证也是Http安全验证的标准(RFC 2617)。

首先我们修改服务端配置文件启用Digest验证,如代码清单11-95。

代码清单11-95 启用Digest验证


<basicHttpBinding>
<binding
name="basicBindingConf">
<security
mode="TransportCredentialOnly">
<transport
clientCredentialType="Digest">
</transport>
</security>
</binding>
</basicHttpBinding>

同样,我们需要配置IIS启用摘要式身份验证,然后更新测试站点的服务引用。

默认情况下是不需要显示传递用户名和密码等信息给服务端的,如果想要传递该信息可以使用代码清单11-96的方式。

代码清单11-96 摘要验证方式显示传递身份信息


p.ClientCredentials.HttpDigest.AllowedImpersonationLevel =
System.Security.Principal.TokenImpersonationLevel.Impersonation;
p.ClientCredentials.HttpDigest.ClientCredential =
new System.Net.NetworkCredential("v-samzha","domain_pwd");

如代码清单11-96,摘要验证的身份信息保存在p.ClientCredentials.HttpDigest对象中。

下面我们分析一下摘要验证的过程。

先看代码清单11-97是第发起请求的信息。

代码清单11-97 发起请求


POST http://wcfservicewebsite.com/HelloService.svc HTTP/1.1
Content-Type: text/xml; charset=utf-8
VsDebuggerCausalityData:
uIDPo9ymOexINPFJi+3tKDrHjuIAAAAAGYVyeTYe3UqAVZgCC45FRE5qbQJALydCjORFK5/dBBoACQAA
SOAPAction: "http://tempuri.org/IHelloService/GetHello"
Host: wcfservicewebsite.com
Content-Length: 133
Expect: 100-continue
Accept-Encoding: gzip, deflate
Connection: Keep-Alive
<s:Envelope
xmlns:s="http://schemas.xmlsoap.org/soap/envelope/"><s:Body><GetHello
xmlns="http://tempuri.org/"/></s:Body></s:Envelope>

从代码清单11-97,我们可以看出第一次请求没有提供任何验证信息,肯定是不能通过验证的,那么服务端返回的信息是什么呢?看代码清单11-98。

代码清单11-98 第一次请求失败的服务端信息


HTTP/1.1 401 Unauthorized
Cache-Control: private
Content-Type: text/html; charset=utf-8
Server: Microsoft-IIS/7.5
WWW-Authenticate: Digest
qop="auth",algorithm=MD5-sess,nonce="+Upgraded+v1b410f2cc9b3070af323f9066253e36c8cf176bcec933cc01c4ff7612615bd9d42b1607c3e122bcba7ca83f47d02c6f1169f78240641df79c",charset=utf-8,realm="
bs--yangwenhai"
X-Powered-By: ASP.NET
Date: Sun, 26 Jun 2011 06:25:13 GMT
Content-Length: 6079

服务端的返回信息中,我们关注代码清单11-98中加粗的部分,它告诉客户端验证方式为Digest,采用的摘要的算法为MD5-sess。qop表示用于服务器回应的保护等级选项,"auth"值表示鉴别;而"auth-int"值则表示采用完整性保护的鉴别。nonce字段是服务器返回的标识,每次请求都不一样,使用如下生产规则:

time-stamp H(time-stamp ":" ETag ":" private-key)

H为采用的摘要算法。

realm=" bs--yangwenhai"声明当前验证的域为bs--yangwenhai。

客户端接收到这样的反馈之后,会发送Digest验证信息给服务端,如代码清单11-99。

代码清单11-99 客户端发送Digest验证信息

POST http://wcfservicewebsite.com/HelloService.svc HTTP/1.1

Content-Type: text/xml; charset=utf-8

VsDebuggerCausalityData: uIDPo9ymOexINPFJi+3tKDrHjuIAAAAAGYVyeTYe3UqAVZgCC45FRE5qbQJALydCjORFK5/dBBoACQAA

SOAPAction: "http://tempuri.org/IHelloService/GetHello"

Accept-Encoding: gzip, deflate,gzip, deflate

Authorization: Digest username="administrator",realm="bs--yangwenhai",nonce="+Upgraded+v1b410f2cc9b3070af323f9066253e36c8cf176bcec933cc01c4ff7612615bd9d42b1607c3e122bcba7ca83f47d02c6f1169f78240641df79c",uri="http://wcfservicewebsite.com/HelloService.svc",cnonce="+Upgraded+v1462dbb5533a1c4c04d59d91a9b10460cfd38ba314128516a4b17391abdc5a273",nc=00000001,algorithm=MD5-sess,response="9aefaca8ec6d904bb0bc43f068e328e2",qop="auth",charset=utf-8,hashed-dirs="service-name,channel-binding",service-name="HTTP/wcfservicewebsite.com",channel-binding="00000000000000000000000000000000"

Host: wcfservicewebsite.com

Content-Length: 133

Expect: 100-continue

<s:Envelope xmlns:s="http://schemas.xmlsoap.org/soap/envelope/"><s:Body><GetHello xmlns="http://tempuri.org/"/></s:Body></s:Envelope>

代码清单11-99是客户端发送的验证信息,其中nonce值与服务端返回的值相同,客户端将密码经过Md5加密放在头部传回服务端。服务端接受到该请求之后,从header中提取有效的client credential,并通过LDAP服务,连接至DC,查找相应用户名与摘要信息匹配的domain user。如果找到,说明该 credential有效,则开始处理请求,否则,返回401给客户端。


本文转自悬魂博客园博客,原文链接:http://www.cnblogs.com/xuanhun/archive/2011/07/01/2095553.html,如需转载请自行联系原作者

相关文章
|
2月前
|
开发框架 安全 中间件
38、中间件漏洞解析-IIS6.0
38、中间件漏洞解析-IIS6.0
41 0
|
11月前
|
C# 数据安全/隐私保护
c#如何创建WCF服务到发布(SqlServer版已经验证)
c#如何创建WCF服务到发布(SqlServer版已经验证)
47 0
|
开发框架 安全 .NET
38、中间件漏洞解析-IIS6.0
38、中间件漏洞解析-IIS6.0
86 5
38、中间件漏洞解析-IIS6.0
|
开发框架 安全 .NET
从零到IIS建站再到IIS解析漏洞复现
从零到IIS建站再到IIS解析漏洞复现
159 0
|
XML 开发框架 .NET
泛解析泛域名301重定向带参数跳转在iis的web.config中的设置方式 二级域名301重定向
泛解析泛域名301重定向带参数跳转在iis的web.config中的设置方式 二级域名301重定向
636 0
泛解析泛域名301重定向带参数跳转在iis的web.config中的设置方式 二级域名301重定向
|
XML 网络协议 IDE
WCF基础教程(三)——WCF通信过程及配置文件解析
WCF基础教程(三)——WCF通信过程及配置文件解析
336 0
WCF基础教程(三)——WCF通信过程及配置文件解析
|
C++
WCF基础教程(二)——解析iis8和iis8.5+VS2013发布wcf服务问题
WCF基础教程(二)——解析iis8和iis8.5+VS2013发布wcf服务问题
115 0
WCF基础教程(二)——解析iis8和iis8.5+VS2013发布wcf服务问题
|
1月前
|
网络协议
windows_server2012搭建iis并配置http重定向 iis转发
windows_server2012搭建iis并配置http重定向 iis转发
65 1
|
1月前
|
Windows
iis配置http重定向302转发get请求并去掉最后的斜杠/ iis重定向 iis去除url最后的斜杠 iis重定向链接斜杠(已解决)
iis配置http重定向302转发get请求并去掉最后的斜杠/ iis重定向 iis去除url最后的斜杠 iis重定向链接斜杠(已解决)
30 0
|
2月前
|
JavaScript Windows
VUE部署到IIS中报404错误解决方案-配置URL重写
VUE部署到IIS中报404错误解决方案-配置URL重写
143 0

推荐镜像

更多