WCF HttpBinding 安全解析 (5)Basic验证(IIS宿主)

本文涉及的产品
全局流量管理 GTM,标准版 1个月
云解析 DNS,旗舰版 1个月
云解析DNS,个人版 1个月
简介:

Basic验证方式是基于用户名/密码的验证方式,在Windows环境下,我们提供的是有效的Windows用户名和密码。但是Basic身份验证方式和Windows身份验证方式是有本质上的区别的。Basic是Http安全规范(RFC 2617),不同的互联网应用体系都可以实现和进行Basic身份验证。

我们使用代码清单11-89的配置在TransportCredentialOnly模式下启用Basic验证。

代码清单11-89 启用Basic验证


<basicHttpBinding>
<binding
name="basicBindingConf">
<security
mode="TransportCredentialOnly">
<transport
clientCredentialType="Basic">
</transport>
</security>
</binding>
</basicHttpBinding>

配置文件修改完毕之后,我们还需要配置IIS来支持Basic验证,这里我关闭其他所有验证方式,只开启基本验证,如图11-39。

clip_image002

图11-39 启用IIS基本身份验证

服务端配置完毕,在测试站点上更新服务,会看到更新后的配置文件,如代码清单11-90所示。

代码清单11-90 客户端配置Basic验证


<security mode="TransportCredentialOnly">
<transport
clientCredentialType="Basic" proxyCredentialType="None" realm=""/>
<message
clientCredentialType="UserName" algorithmSuite="Default"/>
</security>

上面配置中“realm”属性配置的是域信息。实际代表的是每次请求的根URL。

那么如何在在客户端传递验证信息呢?看代码清单11-91。

代码清单11-91 传递客户端Basic验证信息

   1:  
   2: public ActionResultIndex()
   3: {
   4: client.ClientCredentials.UserName.UserName="administrator";
   5: client.ClientCredentials.UserName.Password="xuan$%^hun456";
   6: stringhelloString=client.GetHello();
   7: ViewData["Message"]=helloString;
   8: returnView();
   9: }

从清单11-90中,我们可以看到,与Windows验证不同的是,使用了另一个对象来传递身份信息,client.ClientCredentials.UserName对。client.ClientCredentials.UserName的UserName属性和Password属性分别用来传递用户名和密码。

运行测试站点,结果如图11-40。

clip_image004

图11-40 Basic验证结果

我们再来分析下Basic验证方式是如何通过Http传输的,请求信息如代码清单11-92,应答信息如代码清单11-93。

代码清单11-92 Basic请求信息


POST http://wcfservicewebsite.com/HelloService.svc HTTP/1.1
Content-Type: text/xml; charset=utf-8
VsDebuggerCausalityData:
uIDPo9qmOexINPFJi+3tKDrHjuIAAAAA9X2d7hDLH0GIwSTCqNRNiRHsOF3Z8KRDvBWVY4qgV1EACQAA
SOAPAction: "http://tempuri.org/IHelloService/GetHello"
Authorization: Basic YWRtaW5pc3RyYXRvcjp4dWFuJCVeaHVuNDU2
Host: wcfservicewebsite.com
Content-Length: 133
Expect: 100-continue
Accept-Encoding: gzip, deflate
Connection: Keep-Alive
<s:Envelope
xmlns:s="http://schemas.xmlsoap.org/soap/envelope/"><s:Body><GetHello
xmlns="http://tempuri.org/"/></s:Body></s:Envelope>

代码清单11-93 Basic应答信息


HTTP/1.1 200 OK
Content-Type: text/xml; charset=utf-8
Vary: Accept-Encoding
Server: Microsoft-IIS/7.5
X-Powered-By: ASP.NET
Date: Sun, 26 Jun 2011 05:01:41 GMT
Content-Length: 237
<s:Envelope
xmlns:s="http://schemas.xmlsoap.org/soap/envelope/"><s:Body><GetHelloResponse
xmlns="http://tempuri.org/"><GetHelloResult>Hello:BS--YANGWENHAI\Administrator;type=Basic</GetHelloResult></GetHelloResponse></s:Body></s:Envelope>

我们先看请求信息,重点关注这一句:

Authorization: Basic YWRtaW5pc3RyYXRvcjp4dWFuJCVeaHVuNDU2。

这句话由三段组成,第一段Authorization:标志验证信息;第二段Basic:标志验证类型为Basic;第三段:YWRtaW5pc3RyYXRvcjp4dWFuJCVeaHVuNDU2,是一段Base64编码的文本,内容是什么呢?我们对其转码,结果如下:

administrator:xuan$%^hun456

可以看到这是由冒号(:)分割的用户名和密码。

我们在看响应数据,验证通过之后直接返回结果,那么如果验证不通过呢?我们修改客户端提供的密码信息,再次提交请求,看结果如何。

调试捕获的异常信息如图11-41所示。

clip_image006

图11-41 Basic验证失败

图11-41通知客户端验证失败,同时我们还可以看到当我们不在配置文件和IIS中配置域信息时,IIS会自动将请求的域信息填充的头部。现在我们再看捕获的Http信息。响应信息如代码清单11-94。

代码清单11-94 Basic验证失败响应信息


HTTP/1.1 401 Unauthorized
Cache-Control: private
Content-Type: text/html; charset=utf-8
Server: Microsoft-IIS/7.5
WWW-Authenticate: Basic realm="wcfservicewebsite.com"
X-Powered-By: ASP.NET
Date: Sun, 26 Jun 2011 05:27:25 GMT
Content-Length: 6329

返回的信息,第一行错误码为“401”,解释为“Unauthorized”。加粗的一行标识了具体验证失败的信息,WWW-Authenticate是标准的验证响应头字段,Basic表明验证方式为“Basic”,realm表明未通过验证的域为“wcfservicewebsite.com”。


本文转自悬魂博客园博客,原文链接:http://www.cnblogs.com/xuanhun/archive/2011/06/30/2094825.html,如需转载请自行联系原作者

相关文章
|
8天前
|
传感器 数据采集 安全
工程安全监测中的振弦采集仪技术解析与应用
工程安全监测中的振弦采集仪技术解析与应用
工程安全监测中的振弦采集仪技术解析与应用
|
26天前
|
安全 生物认证 区块链
智能家居安全:从理论到实践的全面解析
【6月更文挑战第22天】本文深入探讨了智能家居安全领域的核心问题,旨在为读者提供一套完整的安全解决方案。文章首先界定了智能家居安全的重要性和面临的挑战,随后详细分析了常见的安全威胁类型,并提出了相应的防御策略。通过案例分析,本文展示了如何将理论知识应用于实际中,以增强智能家居系统的安全性。最后,文章对智能家居安全的未来趋势进行了预测,并强调了持续研究的必要性。
|
15天前
|
安全 网络安全
安全----DDOS攻击解析,预防DDOS攻击的反击时ip封禁
安全----DDOS攻击解析,预防DDOS攻击的反击时ip封禁
|
22天前
|
安全 网络安全 数据安全/隐私保护
深入解析HTTPS:安全机制全方位剖析
深入解析HTTPS:安全机制全方位剖析
|
23天前
|
SQL 存储 安全
Java中的安全编码实践全解析
Java中的安全编码实践全解析
|
23天前
|
网络协议 安全 网络安全
如何打造安全DNS以保障业务可用?一文解读
如何打造安全DNS以保障业务可用?一文解读
16 0
|
29天前
|
网络协议 安全 Linux
【内网安全】隧道技术&SSH&DNS&ICMP&SMB&上线通讯Linux&Mac
【内网安全】隧道技术&SSH&DNS&ICMP&SMB&上线通讯Linux&Mac
|
29天前
|
XML Java 数据格式
深度解析 Spring 源码:从 BeanDefinition 源码探索 Bean 的本质
深度解析 Spring 源码:从 BeanDefinition 源码探索 Bean 的本质
32 3
|
14天前
|
存储 安全 Java
深度长文解析SpringWebFlux响应式框架15个核心组件源码
以上是Spring WebFlux 框架核心组件的全部介绍了,希望可以帮助你全面深入的理解 WebFlux的原理,关注【威哥爱编程】,主页里可查看V哥每天更新的原创技术内容,让我们一起成长。
|
16天前
|
关系型数据库 分布式数据库 数据库
PolarDB-X源码解析:揭秘分布式事务处理
【7月更文挑战第3天】**PolarDB-X源码解析:揭秘分布式事务处理** PolarDB-X,应对大规模分布式事务挑战,基于2PC协议确保ACID特性。通过预提交和提交阶段保证原子性与一致性,使用一致性快照隔离和乐观锁减少冲突,结合故障恢复机制确保高可用。源码中的事务管理逻辑展现了优化的分布式事务处理流程,为开发者提供了洞察分布式数据库核心技术的窗口。随着开源社区的发展,更多创新实践将促进数据库技术进步。
21 3

推荐镜像

更多