WCF分布式安全开发实践(9):消息安全模式之Windows身份验证:Message_Windows_NetTcpBinding

简介:
   今天继续WCF分布式安全开发实践(9):消息安全模式之Windows身份验证:Message_Windows_NetTcpBinding。本文介绍的内容主要是:主要是消息安全模式的Windows身份验证方式,基于NetTcpBinding绑定协议的实现过程。主要内容:基本概念,服务端配置、客户端配置、总结。   Windows 域验证的原理在 WCF分布式安全开发实践(4):传输安全模式之Windows身份验证:Transport_Windows_NetTcpBinding 有简单介绍。  这里就不在重复。
【1】消息安全模式之NetTcpBinding客户端身份验证:
       消息安全模式之NetTcpBinding客户端身份验证不需要服务器证书。这里的客户端和服务器的验证由DC来完成。 这里使用TCP协议。建议安全上下文以后,使用共享安全上下文对SOAP消息进行加密和签名。但是采用Windows身份验证。也就是客户端提供Windows域账号和密码才可以访问此服务。
1.身份验证(服务器):Windows DC验证服务身份。 
2.身份验证(客户端):客户端使用Windows域账户进行身份验证
   WCF消息安全模式之Windows客户端身份验证的架构如下:
    客户端建立TLS安全上下文以后,会使用商定的密码对消息签名,保证数据的安全和机密性,消息签名放置被篡改。
   这里客户端提供的是有效的Windows域账号和密码,进行验证。服务器也在Windows域中。不需要证书。新启用端口8003。
【3】服务端配置:
   服务器证书配置完成以后,我们来配置服务端相关的文件,这里简单。也可以使用代码来完成。
    (1)服务类定义:
    重复使用以前定义的服务类代码。 这里服务类就一个方法就是根据客户端的调用参数name来打印调用时间,代码如下:
// 1.服务契约
    [ServiceContract(Namespace  =   " http://www.cnblogs.com/frank_xl/ " )]
    
public   interface  IWCFService
    {
        
// 操作契约
        [OperationContract]
        
string  SayHello( string  name);

    }
    
// 2.服务类,继承接口。实现服务契约定义的操作
     public   class  WCFService : IWCFService
    {
        
// 实现接口定义的方法
         public   string  SayHello( string  name)
        {
            Console.ForegroundColor 
=  ConsoleColor.Yellow;
            Console.WriteLine(
" Hello! {0},Calling at {1}  " , name, DateTime.Now.ToLongTimeString());
            
return   " Hello!  "   +  name;
        }
    }
    (2)消息安全模式配置:
       使用消息安全模式,采用客户端Windows身份验证策略,Message安全模式下的Windows验证方式配置信息如下:
     < bindings >
      
< netTcpBinding >
      
< binding name = " BindingConfigration " >
        
< security mode = " Message " >
          
< transport clientCredentialType = " None "   protectionLevel = " None " />
          
< message clientCredentialType = " Windows " />
        
</ security >
      
</ binding >
    
</ netTcpBinding >
    
</ bindings >

这里允许启用安全协商和建立安全上下文。这个配置要应用到服务的终结点配置上。才会生效。
    (3)证书使用:
    这里不需要使用证书。客户端和服务器端都存在于Windows域控制器内,由DC提供验证。和传输安全的Windows验证一样。 WCF分布式安全开发实践(4):传输安全模式之Windows身份验证:Transport_Windows_NetTcpBinding 。
    (4)这里我们不需要使用Tcp传输协议,直接配置即可,服务终结点的配置信息如下:
< service behaviorConfiguration = " WCFService.WCFServiceBehavior "  name = " WCFService.WCFService "   >
        
< endpoint 
          address
= " WCFService "  
          binding
= " netTcpBinding "  
          bindingConfiguration
= " BindingConfigration "
          contract
= " WCFService.IWCFService " >
          
< identity >
            
< dns value = " computer " />
          
</ identity >
        
</ endpoint >
        
< endpoint address = " mex "  binding = " mexTcpBinding "  contract = " IMetadataExchange "   />
        
< host >
          
< baseAddresses >
            
< add baseAddress = " net.tcp://localhost:8003/ " />
          
</ baseAddresses >
        
</ host >
      
</ service >
    
</ services >
    
< behaviors >
      
< serviceBehaviors >
        
< behavior name = " WCFService.WCFServiceBehavior " >
          
< serviceMetadata httpGetEnabled = " false "   />
          
< serviceDebug includeExceptionDetailInFaults = " false "   />
        
</ behavior >
      
</ serviceBehaviors >
    
</ behaviors >
   我们的服务元数据终结点使用基地址:net.tcp://localhost:8003/。
【4】客户端配置:
    这个过程和之前的安全模式添加服务引用的方式一样,参考WCF分布式安全开发实践(7):消息安全模式之匿名客户端:Message_None_WSHttpBinding, 添加服务的过程一样。直接引用。
    (1)引用元数据:
    因为服务的元数据交换节点启用了tcp协议,我们在客户端项目添加元数据地址net.tcp://localhost:8003/mex查找服务信息的时候,界面如下:
  继续就会添加完毕服务引用。过程和普通的添加服务元数据引用一样,会产生客户端相关代码文件。输入命名空间,现在我们点击Ok。等待完成即可。   
    (2)配置文件:
    客户端配置文件使用默认设置,主要是安全模式的设置要如下,与服务端匹配。使用传输安全是设置None方式。消息安全是Windows。代码如下:
< system.serviceModel >
        
< bindings >
            
< netTcpBinding >
              
< binding name = " NetTcpBinding_IWCFService "   >
                
< security mode = " Message " >
                  
< transport clientCredentialType = " Windows "  protectionLevel = " EncryptAndSign "   />
                  
< message clientCredentialType = " Windows "   />
                
</ security >
              
</ binding >
            
</ netTcpBinding >
        
</ bindings >
        
< client >
            
< endpoint address = " net.tcp://localhost:8003/WCFService "  binding = " netTcpBinding "
                bindingConfiguration
= " NetTcpBinding_IWCFService "  contract = " ClientProxy.IWCFService "
                name
= " NetTcpBinding_IWCFService " >
                
< identity >
                    
< dns value = " computer "   />
                
</ identity >
            
</ endpoint >
        
</ client >
    
</ system.serviceModel >
    (3)测试代码:
      我们这里就直接生成客户端代理类的实例来调用服务进行测试。这里客户端在调用服务以前,   客户端要提供Windows账号和密码,还有域。然后才能通过客户端代理来调用WCF服务。代码如下:
/// /HTTP WSHttpBinding_IWCFService1
            WCFClient.ClientProxy.WCFServiceClient wcfServiceProxy  =   new  WCFClient.ClientProxy.WCFServiceClient( " NetTcpBinding_IWCFService " );
            
// 通过代理调用SayHello服务
             string  sName  =   " Frank Xu Lei Messaage Windows NetTcpBinding " ;
            
string  sResult  =   string .Empty;
            wcfServiceProxy.ClientCredentials.Windows.ClientCredential.UserName 
=   " FrankXuLei " ;
            wcfServiceProxy.ClientCredentials.Windows.ClientCredential.Password 
=   " 00000000 " ;
            wcfServiceProxy.ClientCredentials.Windows.ClientCredential.Domain 
=   " frankxulei.com " ;
            sResult 
=  wcfServiceProxy.SayHello(sName);
            Console.WriteLine(
" Returned Result is {0} " , sResult);
            
// For Debug
            Console.WriteLine( " Press any key to exit " );
            Console.ReadKey();
 (4)测试结果:
   启动宿主程序,然后启动客户端程序,当我们提供了有效的Windows域账号和密码的时候,稍作等待,客户端成功调用服务,宿主打印的消息。如图:
【5】总结
     Windows Communication Foundation (WCF) 服务和客户端。WCF安全机制都是依赖现有的安全体系和框架来完成的。Windows Server 2003系统使用域名服务(DNS)查询定位最近的可用域控制器。该域控制器则会在用户登录期间对该用户起首选KDC的作用。如果首选KDC失效,则Windows 2003 Server系统将确定由另一个KDC提供验证。
   (1)服务器不需要 X.509 证书,这里是借助DC来实现服务器身份证明。
   (2)绑定设置为 Message 安全模式,客户端凭据类型设置为 Windows
   (3)初始协商完毕以后,建立共享安全上下文,这里使用商定的加密算法对SOAP消息进行加密和签名。
   (4)这里的互操作行仅仅限制在WCF平台上的客户端和服务端的安全验证。
   (5)这里客户端调用WCF服务以前要提供提供了有效的Windows域账户和密码,和Transport安全模式的Windows方式有差别,这里使用的是消息安全,客户端身份验证使用的是Windows域服务器
   (6)参考代码:/Files/frank_xl/7.3.WCFServiceSecurityDemoFrankXuLei_Message_Windows_NetTcpBinding.rar
参考文章:
1.WCF分布式安全开发实践(4):传输安全模式之Windows身份验证:Transport_Windows_NetTcpBinding
2.WCF分布式安全开发实践(7):消息安全模式之匿名客户端:Message_None_WSHttpBinding 
3.http://social.microsoft.com/Forums/zh-CN/wcfzhchs/thread/e1aa7bea-90d8-41e6-b91b-7addba44f8e3
4.WSE3.0构建Web服务安全(2):非对称加密、公钥、密钥、证书、签名的区别和联系以及X.509 证书的获得和管理,具体5.http://msdn.microsoft.com/en-us/library/ms729709.aspx




 本文转自 frankxulei 51CTO博客,原文链接:http://blog.51cto.com/frankxulei/320371,如需转载请自行联系原作者





相关文章
|
8天前
|
开发者 C# Windows
WPF与游戏开发:当桌面应用遇见游戏梦想——利用Windows Presentation Foundation打造属于你的2D游戏世界,从环境搭建到代码实践全面解析新兴开发路径
【8月更文挑战第31天】随着游戏开发技术的进步,WPF作为.NET Framework的一部分,凭借其图形渲染能力和灵活的UI设计,成为桌面游戏开发的新选择。本文通过技术综述和示例代码,介绍如何利用WPF进行游戏开发。首先确保安装最新版Visual Studio并创建WPF项目。接着,通过XAML设计游戏界面,并在C#中实现游戏逻辑,如玩家控制和障碍物碰撞检测。示例展示了创建基本2D游戏的过程,包括角色移动和碰撞处理。通过本文,WPF开发者可更好地理解并应用游戏开发技术,创造吸引人的桌面游戏。
18 0
|
9天前
|
开发者 iOS开发 C#
Uno Platform 入门超详细指南:从零开始教你打造兼容 Web、Windows、iOS 和 Android 的跨平台应用,轻松掌握 XAML 与 C# 开发技巧,快速上手示例代码助你迈出第一步
【8月更文挑战第31天】Uno Platform 是一个基于 Microsoft .NET 的开源框架,支持使用 C# 和 XAML 构建跨平台应用,适用于 Web(WebAssembly)、Windows、Linux、macOS、iOS 和 Android。它允许开发者共享几乎全部的业务逻辑和 UI 代码,同时保持原生性能。选择 Uno Platform 可以统一开发体验,减少代码重复,降低开发成本。安装时需先配置好 Visual Studio 或 Visual Studio for Mac,并通过 NuGet 或官网下载工具包。
15 0
|
2月前
|
Linux Apache C++
FFmpeg开发笔记(三十五)Windows环境给FFmpeg集成libsrt
该文介绍了如何在Windows环境下为FFmpeg集成SRT协议支持库libsrt。首先,需要安装Perl和Nasm,然后编译OpenSSL。接着,下载libsrt源码并使用CMake配置,生成VS工程并编译生成srt.dll和srt.lib。最后,将编译出的库文件和头文件按照特定目录结构放置,并更新环境变量,重新配置启用libsrt的FFmpeg并进行编译安装。该过程有助于优化直播推流的性能,减少卡顿问题。
70 2
FFmpeg开发笔记(三十五)Windows环境给FFmpeg集成libsrt
|
3月前
|
网络安全 C++ Windows
【Windows驱动开发】(主机)VS2017+(虚拟机)win10系统------双机调试
【Windows驱动开发】(主机)VS2017+(虚拟机)win10系统------双机调试
|
3月前
|
Windows
【Windows驱动开发】注册表的基本操作(创建、打开、修改、读取、枚举)(附源码)
【Windows驱动开发】注册表的基本操作(创建、打开、修改、读取、枚举)(附源码)
|
3月前
|
编解码 Windows
FFmpeg开发笔记(二十九)Windows环境给FFmpeg集成libxvid
XviD是开源MPEG-4视频编码器,与DivX相似但后者非开源。早期MP4常使用XviD或DivX编码,现已被H.264取代。在Windows上集成FFmpeg的XviD编解码库libxvid,需访问<https://labs.xvid.com/source/>下载源码,解压后在MSYS环境中配置、编译和安装。之后重新配置FFmpeg,启用libxvid并编译安装。详细步骤包括configure命令、make和make install。成功后,通过`ffmpeg -version`检查是否启用libxvid。更多音视频开发技术可参考《FFmpeg开发实战:从零基础到短视频上线》。
83 0
FFmpeg开发笔记(二十九)Windows环境给FFmpeg集成libxvid
|
3月前
|
Java Nacos 微服务
Spring Cloud微服务在Windows本地开发时禁用Nacos注册中心注册
Spring Cloud微服务在Windows本地开发时禁用Nacos注册中心注册
|
3月前
|
数据库连接 Nacos 数据库
nacos在windows系统下单机模式启动四部曲(2.1.2重置密码)
nacos在windows系统下单机模式启动四部曲(2.1.2重置密码)
166 0
|
13天前
|
NoSQL Redis
基于Redis的高可用分布式锁——RedLock
这篇文章介绍了基于Redis的高可用分布式锁RedLock的概念、工作流程、获取和释放锁的方法,以及RedLock相比单机锁在高可用性上的优势,同时指出了其在某些特殊场景下的不足,并提到了ZooKeeper作为另一种实现分布式锁的方案。
36 2
基于Redis的高可用分布式锁——RedLock
|
21天前
|
缓存 NoSQL Java
SpringBoot整合Redis、以及缓存穿透、缓存雪崩、缓存击穿的理解分布式情况下如何添加分布式锁 【续篇】
这篇文章是关于如何在SpringBoot应用中整合Redis并处理分布式场景下的缓存问题,包括缓存穿透、缓存雪崩和缓存击穿。文章详细讨论了在分布式情况下如何添加分布式锁来解决缓存击穿问题,提供了加锁和解锁的实现过程,并展示了使用JMeter进行压力测试来验证锁机制有效性的方法。
SpringBoot整合Redis、以及缓存穿透、缓存雪崩、缓存击穿的理解分布式情况下如何添加分布式锁 【续篇】