WCF分布式安全开发实践(8):消息安全模式之用户名身份验证:Message_UserName_WSHttpBinding

本文涉及的产品
密钥管理服务KMS,1000个密钥,100个凭据,1个月
Digicert DV 证书 单域名,20个 3个月
简介:
  今天继续WCF分布式安全开发实践(8):消息安全模式之用户名身份验证:Message_UserName_WSHttpBinding 。本文介绍的内容主要是:主要是消息安全模式的用户名身份验证方式,基于WSHttpBinding绑定协议的实现过程。主要内容:基本概念,然后是制作证书、服务端配置、客户端配置、总结。这里应该和Transport传输安全模式之Basic基本身份验证对应,但是消息安全模式这里称呼为UserName,感觉比较奇怪。  
【0】消息安全模式之UserName客户端身份验证:
       消息安全模式之UserName客户端身份验证需要服务器需要一个有效的可用于TLS 加密和向客户端验证服务身份的 X.509 证书,并且客户端必须信任此服务器证书。 这里使用http协议。建议安全上下文以后,使用共享安全上下文对SOAP消息进行加密和签名。但是采用UserName客户端身份验证。也就是客户端提供用户名和密码才可以访问此服务。
1.身份验证(服务器):提供证书,(使用 HTTP)用于初始会话协商和证明服务身份。 
2.身份验证(客户端):客户端使用用户名和密码进行身份验证
   WCF消息安全模式之UserName客户端身份验证的架构如下:
    客户端建立TLS安全上下文以后,会使用商定的密码对消息签名,客户端使用证书加密数据,服务端使用证书解密数据,保证数据的安全和机密性,消息签名放置被篡改。
   这里客户端提供的是有效的用户名和密码,服务器端进行验证。
   下面是制作证书的过程,和传输安全模式的过程一样,这里直接使用相同证书制作工具,新启用端口8001。
【1】制作证书:
(1)使用makecert 工具:Microsoft Visual Studio 2008-->Visual Studio Tools-->Visual Studio 2008 命令提示行。
输入: makecert -sr localmachine -ss My -n CN=WCFServerPK -sky exchange -pe -r
输入:makecert -sr localmachine -ss My -n CN=WCFClientPK -sky exchange -pe -r。
-这里制作了连个证书,主要只使用一个WCFServerPK,可以到出密钥文件pfx,后续我们要导入到其他存储区,设置为信任的证书。WCFClientPK -是为以后文章准备的,也是可以设置为信任的证书。

 (2) 打开浏览器---->Internet 选项----->内容----->证书----->个人,默认是保存到当前用户CurrentUser,你会看到刚才制作的证书。这个可以查看部分证书,但是功能有限。我们还是使用控制台证书管理工具。
 (3)使用MMC建立证书控制单元查看证书的信息:
  开始--运行--MMC--控制台--添加删除单元--证书--当前用户和计算机各添加一个。能查看和管理CurrentUser和LocalMachine的证书。如图:
(4)导入证书到信任的人和信任的CA机构里。步骤如下:
    1.导出证书文件,带密钥的pfx文件。使用mmc,保存到桌面位置(方便查找)。这里记住你制作证书的密码。要使用。
    2.导入证书到信任的人。使用任务-导入向导--选择证书文件,导入即可。
    3.导入证书到信任的机构,使用任务-导入向导--选择证书文件,导入即可。这个证书就被信任了。
【3】服务端配置:
   服务器证书配置完成以后,我们来配置服务端相关的文件,这里简单。也可以使用代码来完成。
    (1)服务类定义:
    重复使用以前定义的服务类代码。 这里服务类就一个方法就是更具用户的name来打印调用时间,代码如下:
 //1.服务契约
    [ServiceContract(Namespace = "http://www.cnblogs.com/frank_xl/" )]
    
public interface
 IWCFService
    {
        
//操作契约

        [OperationContract]
        
string SayHello(string
 name);

    }
    
//2.服务类,继承接口。实现服务契约定义的操作

    public class  WCFService : IWCFService
    {
        
//实现接口定义的方法

        public string SayHello(string  name)
        {
            Console.WriteLine(
"Hello! {0},Calling at {1} "
, name,DateTime.Now.ToLongTimeString());
            
return "Hello! " +
 name;
        }
    }
    (2)消息安全模式配置:
       使用消息安全模式,采用客户端UserName身份验证策略,Message安全模式下的用户名密码验证方式配置信息如下:
< wsHttpBinding >
      
< binding name = " BindingConfigration " >
        
< security mode = " Message " >
          
< transport clientCredentialType = " None " />
          
< message clientCredentialType = " UserName "  negotiateServiceCredential = " true "  establishSecurityContext = " true " />
        
</ security >
      
</ binding >
    
</ wsHttpBinding >
这里允许启用安全协商和建立安全上下文。这个配置要应用到服务的终结点配置上。才会生效。
    (3)证书使用:
    在服务行为节点属性里配置使用证书WCFServerPK,其它设置采用默认方式。这里和 WCF分布式安全开发实践(7):消息安全模式之匿名客户端:Message_None_WSHttpBinding 配置一样,具体代码如下:
behaviors>
      
<serviceBehaviors>
        
<behavior name="WCFService.WCFServiceBehavior">
          
<serviceMetadata httpGetEnabled="true" />
          
<serviceDebug includeExceptionDetailInFaults="false" />
          
<serviceCredentials>
              
<serviceCertificate  storeName="My"  x509FindType="FindBySubjectName" findValue="WCFServerPK" storeLocation="LocalMachine"/>
          
</serviceCredentials>
        
</behavior>
      
</serviceBehaviors>
    
</behaviors>
    
<bindings>
    这里指定了服务端证书的查找位置和查找条件,我们证书存储在LocalMachine 个人区域。使用标题进行查找。如果相同标题,需要制定唯一的查找条件。保证查找证书的唯一性。否则会出异常。
   (4)这里我们不需要使用Https传输协议,直接使用http协议即可,服务终结点的配置信息如下:
    <services>
      
<service behaviorConfiguration="WCFService.WCFServiceBehavior" name="WCFService.WCFService" >
        
< endpoint 
          address
="WCFService"
 
          binding
="wsHttpBinding"
 
          bindingConfiguration
="BindingConfigration"

          contract
="WCFService.IWCFService">
        
</endpoint>
        
<endpoint address="mex" binding="mexHttpBinding" contract="IMetadataExchange" />
        
<host>
          
<baseAddresses>
            
<add baseAddress="http://localhost:8001/"/>
          
</baseAddresses>
        
</host>
      
</service>
    
</services>
   我们的服务元数据终结点使用基地址: http://localhost:8001/
【4】客户端配置:
    这个过程和之前的传输安全模式下,参考WCF分布式安全开发实践(7):消息安全模式之匿名客户端:Message_None_WSHttpBinding, 添加服务的过程一样。直接引用。
    (1)引用元数据:
    因为服务的元数据交换节点启用了Http协议,我们在客户端项目添加元数据地址 http://localhost:8001/mex查找服务信息的时候,界面如下:
  继续就会添加完毕服务引用。过程和普通的添加服务元数据引用一样,会产生客户端相关代码文件。输入命名空间,现在我们点击Ok。等待完成即可。   
    (2)配置文件:
    客户端配置文件使用默认设置,主要是安全模式的设置要如下,与服务端匹配。使用None方式。
                     < security mode = " Message " >
                        
< transport clientCredentialType = " Windows "  proxyCredentialType = " None "
                            realm
= ""   />
                        
< message clientCredentialType = " UserName "  negotiateServiceCredential = " true "
                            algorithmSuite
= " Default "  establishSecurityContext = " true "   />
                    
</ security >
    (3)测试代码:
      等待代码生成结束,我们这里就直接生成客户端代理类的实例来调用服务进行测试。这里客户端在调用服务以前,必须信任证书,这里我们使用了一段通用的代码,来建立TLS使用。这里会信任服务器的证书。代码如下:
 public static class  Util
    {
        
/// <summary>

        
///  Sets the cert policy.
        
/// </summary>

        public static void  SetCertificatePolicy()
        {
            ServicePointManager.ServerCertificateValidationCallback
                       
+=
 RemoteCertificateValidate;
        }

        
/// <summary>

        
///  Remotes the certificate validate.
        
/// </summary>

        private static bool  RemoteCertificateValidate(
           
object
 sender, X509Certificate cert,
            X509Chain chain, SslPolicyErrors error)
        {
            
// trust any certificate!!!

            System.Console.WriteLine("Warning, trust any certificate" );
            
return true
;
        }
    }
   客户端测试代码很简单,要提供Windows账号和密码。就是通过客户端代理来调用WCF服务。代码如下:

 class WCFClientTest
    {
        
static void Main(string[] args)
        {

            
try
            {
                
//HTTP WSHttpBinding_IWCFService1
                WCFClient.ClientProxy.WCFServiceClient wcfServiceProxy = new WCFClient.ClientProxy.WCFServiceClient("WSHttpBinding_IWCFService");
                
//通过代理调用SayHello服务
                string sName = "Frank Xu Lei  Message UserName WSHttpBinding";
                
string sResult = string.Empty;
                wcfServiceProxy.ClientCredentials.UserName.UserName 
= "FrankXuLei";
                wcfServiceProxy.ClientCredentials.UserName.Password 
= "00000000";
                Util.SetCertificatePolicy();
                sResult 
= wcfServiceProxy.SayHello(sName);
                Console.WriteLine(
"Returned Result is {0}", sResult);
            }
            
catch (Exception e)
            {
               Console.WriteLine(
"Exception : {0}", e.Message);
            }
            
//For Debug
            Console.WriteLine("Press any key to exit");
            Console.Read();
            
        }

    }
 (4)测试结果:
   启动宿主程序,然后启动客户端程序,稍作等待,当我们提供了有效的UserName和Password的时候,客户端成功调用服务,宿主打印的消息。如图:
【5】总结
     Windows Communication Foundation (WCF) 服务和客户端。WCF安全机制都是依赖现有的安全体系和框架来完成的。
   (1)服务器需要一个证明服务器身份和有效的可用于TLS传输层安全的 X.509 证书,并且客户端必须信任此服务器证书。
   (2)客户端提交证书的方式与传输安全之证书验证方式一样,服务器端需要提供证书,但是不需要httpcfg.exe设置。
   (3)初始协商需要服务器证书来建立TLS连接,协商完毕以后,建立共享安全上下文,这里使用商定的加密算法对SOAP消息进行加密和签名。
   (4)如果你启用协商,而不把服务器证书在客户端设置信任,导入信任的办法机构,会出现SOAP安全协商失败的异常。
   (5)这里客户端调用WCF服务以前要提供提供了有效的UserName和Password,和Transport安全模式的Basic方式类似。(其它差别信息我会继续补充)
   (6)参考代码: 
/Files/frank_xl/6.1.WCFServiceSecurityDemoFrankXuLei_Message_UserName_WSHttpBinding.rar
   以上基本是消息安全之UserName验证方式的实现过程。消息安全提供了更加灵活的安全加密策略,使得我们客户端和服务器之间可以经过多个中间件,依然能够保证消息的机密性和完整性。也就是端到端(End-to-End)的安全机制。此外相对 WCF分布式安全开发实践(7):消息安全模式之匿名客户端:Message_None_WSHttpBinding 方式,它提供了基于UserName的客户端身份的验证机制。同时保证了客户端和服务端的合法性。
参考文章:
1.WCF分布式安全开发实践(10):消息安全模式之自定义用户名密码:Message_UserNamePassword_WSHttpBinding 
2.WCF分布式安全开发实践(7):消息安全模式之匿名客户端:Message_None_WSHttpBinding 
3.http://social.microsoft.com/Forums/zh-CN/wcfzhchs/thread/e1aa7bea-90d8-41e6-b91b-7addba44f8e3
4.WSE3.0构建Web服务安全(2):非对称加密、公钥、密钥、证书、签名的区别和联系以及X.509 证书的获得和管理,具体5.http://msdn.microsoft.com/en-us/library/ms731058.aspx



 本文转自 frankxulei 51CTO博客,原文链接:http://blog.51cto.com/frankxulei/320367,如需转载请自行联系原作者


相关文章
|
29天前
|
监控
Saga模式在分布式系统中保证事务的隔离性
Saga模式在分布式系统中保证事务的隔离性
|
3月前
|
运维 Kubernetes 调度
阿里云容器服务 ACK One 分布式云容器企业落地实践
3年前的云栖大会,我们发布分布式云容器平台ACK One,随着3年的发展,很高兴看到ACK One在混合云,分布式云领域帮助到越来越多的客户,今天给大家汇报下ACK One 3年来的发展演进,以及如何帮助客户解决分布式领域多云多集群管理的挑战。
阿里云容器服务 ACK One 分布式云容器企业落地实践
|
2月前
|
存储 缓存 NoSQL
大数据-38 Redis 高并发下的分布式缓存 Redis简介 缓存场景 读写模式 旁路模式 穿透模式 缓存模式 基本概念等
大数据-38 Redis 高并发下的分布式缓存 Redis简介 缓存场景 读写模式 旁路模式 穿透模式 缓存模式 基本概念等
66 4
|
3月前
Saga模式在分布式系统中如何保证事务的隔离性
Saga模式在分布式系统中如何保证事务的隔离性
|
4月前
|
存储 分布式计算 算法
探索Hadoop的三种运行模式:单机模式、伪分布式模式和完全分布式模式
在配置Hadoop集群之前,了解这三种模式的特点、适用场景和配置差异是非常重要的。这有助于用户根据个人需求和资源情况,选择最适合自己的Hadoop运行模式。在最初的学习和开发阶段,单机模式和伪分布式模式能为用户提供便利和成本效益。进而,当用户要处理大规模数据集时,完全分布式模式将是理想的选择。
205 2
|
4月前
|
存储 分布式计算 Hadoop
【揭秘Hadoop背后的秘密!】HDFS读写流程大曝光:从理论到实践,带你深入了解Hadoop分布式文件系统!
【8月更文挑战第24天】Hadoop分布式文件系统(HDFS)是Hadoop生态系统的关键组件,专为大规模数据集提供高效率存储及访问。本文深入解析HDFS数据读写流程并附带示例代码。HDFS采用NameNode和DataNode架构,前者负责元数据管理,后者承担数据块存储任务。文章通过Java示例演示了如何利用Hadoop API实现数据的写入与读取,有助于理解HDFS的工作原理及其在大数据处理中的应用价值。
108 1
|
4月前
|
开发者 云计算 数据库
从桌面跃升至云端的华丽转身:深入解析如何运用WinForms与Azure的强大组合,解锁传统应用向现代化分布式系统演变的秘密,实现性能与安全性的双重飞跃——你不可不知的开发新模式
【8月更文挑战第31天】在数字化转型浪潮中,传统桌面应用面临新挑战。本文探讨如何融合Windows Forms(WinForms)与Microsoft Azure,助力应用向云端转型。通过Azure的虚拟机、容器及无服务器计算,可轻松解决性能瓶颈,满足全球用户需求。文中还提供了连接Azure数据库的示例代码,并介绍了集成Azure Storage和Functions的方法。尽管存在安全性、网络延迟及成本等问题,但合理设计架构可有效应对,帮助开发者构建高效可靠的现代应用。
33 0
|
4月前
|
UED 存储 数据管理
深度解析 Uno Platform 离线状态处理技巧:从网络检测到本地存储同步,全方位提升跨平台应用在无网环境下的用户体验与数据管理策略
【8月更文挑战第31天】处理离线状态下的用户体验是现代应用开发的关键。本文通过在线笔记应用案例,介绍如何使用 Uno Platform 优雅地应对离线状态。首先,利用 `NetworkInformation` 类检测网络状态;其次,使用 SQLite 实现离线存储;然后,在网络恢复时同步数据;最后,通过 UI 反馈提升用户体验。
99 0
|
4月前
|
机器学习/深度学习 TensorFlow 数据处理
分布式训练在TensorFlow中的全面应用指南:掌握多机多卡配置与实践技巧,让大规模数据集训练变得轻而易举,大幅提升模型训练效率与性能
【8月更文挑战第31天】本文详细介绍了如何在Tensorflow中实现多机多卡的分布式训练,涵盖环境配置、模型定义、数据处理及训练执行等关键环节。通过具体示例代码,展示了使用`MultiWorkerMirroredStrategy`进行分布式训练的过程,帮助读者更好地应对大规模数据集与复杂模型带来的挑战,提升训练效率。
95 0
|
4月前
|
消息中间件 存储 Kafka
微服务实践之分布式定时任务
微服务实践之分布式定时任务