WCF分布式安全开发实践(4):传输安全模式之Windows身份验证:Transport_Windows_NetTcpBinding

简介:
  本节介绍的内容主要是:主要是传输安全模式的Windows身份验证方式,基于NetTcpBinding绑定协议的实现过程。
    为什么此安全方式不需要配置证书,他与自定义验证方式的Windows验证有什么不同?本文都会介绍。以下是本节主要内容:Windows身份验证基本概念,然后WCF传输安全模式之Windows身份验证、服务端配置、客户端配置、总结。
     此节内容因为是在 WCF分布式安全开发实践(2):传输安全模式之基本身份验证(Windows账户密码):Transport_Basic_WSHttpBinding 。我们在传输安全模式下页提供了提供了用户自定义对客户端凭据的验证代码。与消息安全不同的是,这里我们要借助SSL来保证数据交互的安全。首先我们来介绍一下什么是传输安全模式的自定义UserNamePassword。
【1】Windows域验证:
    我们这里先介绍Windows验证的基础概念。 Kerberos V5和域控制器Kerberos V5服务安装在每个域控制器上,而Kerberos V5客户机则安装在每个Windows Server 2003工作站和服务器上。
Windows Server 2003系统使用域名服务(DNS)查询定位最近的可用域控制器。该域控制器则会在用户登录期间对该用户起首选KDC的作用。如果首选KDC失效,则Windows 2003 Server系统将确定由另一个KDC提供验证。
   Kerberos V5验证过程是按以下步骤工作的:
(1) 客户机中的用户,使用口令或智能卡向KDC(Key Distribution Center)发出验证请求。
(2) KDC向客户机发出一个特别的授权票证(Ticket Granting Ticket,简称TGT)。客户机系统使用该TGT访问售票服务(Ticket Granting Service,简称TGS),它是域控制器中Kerberos V5验证机制的一部分。
(3) 然后,TGS向客户机发布一个服务票证(Service Ticket),客户机使用服务票证来请求网络服务。服务票证用来证明服务和用户的身份。
【2】传输安全模式之Windows身份验证:
       传输安全模式之Windows身份验证需要服务器不需要一个服务器提供有效的可用于安全套接字层 (SSL) 的 X.509 证书。 这里使用Tcp协议来保证数据传输安全。客户端提供有效的Windows 用户名和密码。验证有域服务器完成。
1.身份验证(服务器):不需要提供证书,Windows集成身份验证 
2.身份验证(客户端):Windows集成身份验证 
3.绑定协议:TCP
   WCF传输安全模式身之Windows身份份验证的架构如下:
【3】服务端配置:
    我们就要对WCF服务端进行配置,直接使用配置文件,这里简单。也可以使用代码来完成。
    (1)服务类定义:
     这里服务类就一个方法就是更具用户的name来打印调用时间,代码如下:
 //1.服务契约
    [ServiceContract(Namespace = "http://www.cnblogs.com/frank_xl/" )]
    
public interface
 IWCFService
    {
        
//操作契约

        [OperationContract]
        
string SayHello(string
 name);

    }
    
//2.服务类,继承接口。实现服务契约定义的操作

    public class  WCFService : IWCFService
    {
        
//实现接口定义的方法

        public string SayHello(string  name)
        {
            Console.WriteLine(
"Hello! {0},Calling at {1} "
, name,DateTime.Now.ToLongTimeString());
            
return "Hello! " +
 name;
        }
    }
    (2)传输安全模式配置:
       使用传输安全模式,采用客户端Windows身份验证策略,transport安全模式下,netTcpBinding绑定默认使用的Windows方式,而且启用签名和加密特性。配置信息如下:
       < netTcpBinding >
      
< binding name = " BindingConfigration " >
        
< security mode = " Transport " >
          
< transport clientCredentialType = " Windows "   />
        
</ security >
      
</ binding >
    
</ netTcpBinding >
   这个这里不适用配置也会生效,等价于以下设置
       < netTcpBinding >
      
< binding name = " BindingConfigration " >
        
< security mode = " Transport " >
          
< transport clientCredentialType = " Windows "   protectionLevel = " EncryptAndSign " />
        
</ security >
      
</ binding >
    
</ netTcpBinding >
    基于netTcpBinding来实现传输安全模式下的Windows身份验证好处就在这里,可以直接使用其提供的加密和签名功能。
  【4】客户端配置:
    这个过程和之前的传输安全模式下,添加服务的过程一样。直接引用。
    (1)引用元数据:
    因为服务的元数据交换节点启用了TCP协议,我们在客户端项目添加元数据地址net.tcp ://localhost:9003/mex查找服务信息,如图:
   这个证明我们的服务端证书设置已经起作用,而且是可信的。现在我们点击Yes。继续就会添加完毕服务引用。过程和普通的添加服务元数据引用一样,会产生客户端相关代码文件。输入NameSpace,等待完成即可。   
    (2)配置文件:
    客户端配置文件使用默认设置,主要是安全模式的设置要如下,与服务端匹配。使用Basic方式。这样我们才能提供自定义用户名和密码。
    (3)测试代码:
    等待代码生成结束,我们这里就直接生成客户端代理类的实例来调用服务进行测试。这里客户端在调用服务以前,通道客户端服务代理类的ClientCredentials.Windows.ClientCredentia属性设置Windows用户名和密码。如下:
             /// /HTTP WSHttpBinding_IWCFService1
            WCFClient.ClientProxy.WCFServiceClient wcfServiceProxy  =   new  WCFClient.ClientProxy.WCFServiceClient( " NetTcpBinding_IWCFService " );
            
// 通过代理调用SayHello服务
             string  sName  =   " Frank Xu Lei Transport Windows NetTcpBinding " ;
            
string  sResult  =   string .Empty;
            
// 设置Windows域账号密码
            wcfServiceProxy.ClientCredentials.Windows.ClientCredential.UserName  =   " FrankXuLei " ;
            wcfServiceProxy.ClientCredentials.Windows.ClientCredential.Password 
=   " 12345678 " ;
            wcfServiceProxy.ClientCredentials.Windows.ClientCredential.Domain 
=   " mydomain " ;
            sResult 
=  wcfServiceProxy.SayHello(sName);
            Console.WriteLine(
" Returned Result is {0} " , sResult);
            
// For Debug
            Console.WriteLine( " Press any key to exit " );
            Console.Read();
  也可以通过代码设置:
ChannelFactory<IMySecureService> factory = new ChannelFactory<IMySecureService>( );
// Transport 安全模式之Windows身份验证
factory.Credentials.Windows.ClientCredential = new
NetworkCredential("FrankXuLei", "12345678", "mydomain");
(4)测试结果:
    启动宿主程序,然后启动客户端程序。宿主打印的消息,当我们Windows用户名和密码的时候,客户端成功调用服务,如图:
【5】总结
     Windows Communication Foundation (WCF) 服务和客户端。服务器不需要 X.509 证书,
   (1) 此处自是在借助传输安全Windows集成身份验证,需要Windows域服务器支持。
   (2)此方式该应用程序部署在具有 Kerberos 控制器保护的域中。
   (3)Windows 集成身份验证,负责提供的是身份验证。而安全由TCP传输来实现,我可以再传输安全配置里设置,启用特定的保护级别。
   (4)transport 在NetTcpBinding绑定下,默认客户端身份验证使用Windows身份验证。 默认的保护级别是加密并且签名EncryptAndSign。
   (5)给出今天的参考代码,供大家参考:/Files/frank_xl/3.3.WCFServiceSecurityDemoFrankXuLei_Transport_Windows_NetTcpBinding.rar

参考文章:
1.WCF分布式安全开发实践(2):传输安全模式之基本身份验证(Windows账户密码):Transport_Basic_WSHttpBinding 
2.http://www.jojy.cn/bbs/thread-1474-1-1.html
3.http://gnaw0725.blogbus.com/logs/18971316.html


 本文转自 frankxulei 51CTO博客,原文链接:http://blog.51cto.com/frankxulei/320357,如需转载请自行联系原作者





相关文章
|
14天前
|
运维 Kubernetes 调度
阿里云容器服务 ACK One 分布式云容器企业落地实践
阿里云容器服务ACK提供强大的产品能力,支持弹性、调度、可观测、成本治理和安全合规。针对拥有IDC或三方资源的企业,ACK One分布式云容器平台能够有效解决资源管理、多云多集群管理及边缘计算等挑战,实现云上云下统一管理,提升业务效率与稳定性。
|
21天前
|
机器学习/深度学习 存储 运维
分布式机器学习系统:设计原理、优化策略与实践经验
本文详细探讨了分布式机器学习系统的发展现状与挑战,重点分析了数据并行、模型并行等核心训练范式,以及参数服务器、优化器等关键组件的设计与实现。文章还深入讨论了混合精度训练、梯度累积、ZeRO优化器等高级特性,旨在提供一套全面的技术解决方案,以应对超大规模模型训练中的计算、存储及通信挑战。
54 4
|
24天前
|
NoSQL Java 数据处理
基于Redis海量数据场景分布式ID架构实践
【11月更文挑战第30天】在现代分布式系统中,生成全局唯一的ID是一个常见且重要的需求。在微服务架构中,各个服务可能需要生成唯一标识符,如用户ID、订单ID等。传统的自增ID已经无法满足在集群环境下保持唯一性的要求,而分布式ID解决方案能够确保即使在多个实例间也能生成全局唯一的标识符。本文将深入探讨如何利用Redis实现分布式ID生成,并通过Java语言展示多个示例,同时分析每个实践方案的优缺点。
53 8
|
3月前
|
运维 Kubernetes 调度
阿里云容器服务 ACK One 分布式云容器企业落地实践
3年前的云栖大会,我们发布分布式云容器平台ACK One,随着3年的发展,很高兴看到ACK One在混合云,分布式云领域帮助到越来越多的客户,今天给大家汇报下ACK One 3年来的发展演进,以及如何帮助客户解决分布式领域多云多集群管理的挑战。
阿里云容器服务 ACK One 分布式云容器企业落地实践
|
4月前
|
存储 分布式计算 Hadoop
【揭秘Hadoop背后的秘密!】HDFS读写流程大曝光:从理论到实践,带你深入了解Hadoop分布式文件系统!
【8月更文挑战第24天】Hadoop分布式文件系统(HDFS)是Hadoop生态系统的关键组件,专为大规模数据集提供高效率存储及访问。本文深入解析HDFS数据读写流程并附带示例代码。HDFS采用NameNode和DataNode架构,前者负责元数据管理,后者承担数据块存储任务。文章通过Java示例演示了如何利用Hadoop API实现数据的写入与读取,有助于理解HDFS的工作原理及其在大数据处理中的应用价值。
122 1
|
4月前
|
机器学习/深度学习 人工智能 负载均衡
【AI大模型】分布式训练:深入探索与实践优化
在人工智能的浩瀚宇宙中,AI大模型以其惊人的性能和广泛的应用前景,正引领着技术创新的浪潮。然而,随着模型参数的指数级增长,传统的单机训练方式已难以满足需求。分布式训练作为应对这一挑战的关键技术,正逐渐成为AI研发中的标配。
212 5
|
4月前
|
存储 Kubernetes 监控
深入浅出分布式事务:理论与实践
在数字化时代的浪潮中,分布式系统如同星辰大海般浩瀚而深邃。本文将带你航行于这片星辰大海,探索分布式事务的奥秘。我们将从事务的基本概念出发,逐步深入到分布式事务的核心机制,最后通过一个实战案例,让你亲自体验分布式事务的魅力。让我们一起揭开分布式事务的神秘面纱,领略其背后的科学与艺术。
95 1
|
4月前
|
Go API 数据库
[go 面试] 分布式事务框架选择与实践
[go 面试] 分布式事务框架选择与实践
|
4月前
|
UED 存储 数据管理
深度解析 Uno Platform 离线状态处理技巧:从网络检测到本地存储同步,全方位提升跨平台应用在无网环境下的用户体验与数据管理策略
【8月更文挑战第31天】处理离线状态下的用户体验是现代应用开发的关键。本文通过在线笔记应用案例,介绍如何使用 Uno Platform 优雅地应对离线状态。首先,利用 `NetworkInformation` 类检测网络状态;其次,使用 SQLite 实现离线存储;然后,在网络恢复时同步数据;最后,通过 UI 反馈提升用户体验。
109 0
|
4月前
|
机器学习/深度学习 TensorFlow 数据处理
分布式训练在TensorFlow中的全面应用指南:掌握多机多卡配置与实践技巧,让大规模数据集训练变得轻而易举,大幅提升模型训练效率与性能
【8月更文挑战第31天】本文详细介绍了如何在Tensorflow中实现多机多卡的分布式训练,涵盖环境配置、模型定义、数据处理及训练执行等关键环节。通过具体示例代码,展示了使用`MultiWorkerMirroredStrategy`进行分布式训练的过程,帮助读者更好地应对大规模数据集与复杂模型带来的挑战,提升训练效率。
111 0