6

我想不使用内置的 WCF/c# 组件,

  1. 向 RESTful 服务验证客户端
  2. 处理客户端中 API 调用的身份验证失败

这是一个教学练习:我意识到有内置的身份验证方法,我想从头开始这样做以了解它是如何工作的。

我有密码散列和检查逻辑以及验证密码的公开 REST 调用,但我不确定如何从那里开始。

背景

我正在努力为我的休息服务创建身份验证方法。

到目前为止,我已经成功地创建了密码、salt 的哈希值并存储了 salt,并且我已经成功地验证了用户身份。但是,我不确定您将如何封装我所有的 wcf REST 请求,以便如果有任何请求(GET、POST),它会要求您登录,如果您没有登录。

因为我使用了自己的身份验证技术,而且我是 Web 服务和 C# 的新手,所以我真的不知道从哪里开始?

因此,我将向任何可以提供解决方案的人提供 300 个代表。

代码

这是我的休息服务:

[ServiceContract(Namespace = "http://tempuri.org")]
[XmlSerializerFormat]
public interface IService
{
  .... all of my GET, POST, PUT and DELETE requests
{
[DataContract(Name="Student")]
[Serializable]
public class Student
{
    [DataMember(Name = "StudentID")]
    public string StudentID { get; set; }
    [DataMember(Name = "FirstName")]
    public string FirstName { get; set; }
    [DataMember(Name = "LastName")]
    public string LastName { get; set; }
    [DataMember(Name = "Password")]
    public string Password;
    [DataMember(Name = "Salt")]
    public byte[] Salt;
    //note the use of public datamembers for password and salt, not sure how to implement private for this. 
 }
[ServiceBehavior(InstanceContextMode = InstanceContextMode.Single)]
[Serializable]
public class Service: IService
{
    #region Authentication, hash and salt
    protected RNGCryptoServiceProvider random = new RNGCryptoServiceProvider();
    public byte[] GenerateSalt() //Generate random salt for each password
    {
        byte[] salt = new byte[10000]; 
        random.GetNonZeroBytes(salt);
        return salt;
    }
    public static byte[] Hash(string value, byte[] salt) //hash and salt the password 
    {
        return Hash(Encoding.UTF8.GetBytes(value), salt); 
    }

    public static byte[] Hash(byte[] value, byte[] salt) // create hash of password 
    {
        byte[] saltedValue = value.Concat(salt).ToArray();

        return new SHA256Managed().ComputeHash(saltedValue); //initialise new isntance of the crypto class using SHA-256/32-byte (256 bits) words  
    }
    public string AuthenticateUser(string studentID, string password) //Authentication should always be done server side 
    {
        var result = students.FirstOrDefault(n => n.StudentID == studentID);
        //find the StudentID that matches the string studentID 
        if (result != null)
        //if result matches then do this
        {
            byte[] passwordHash = Hash(password, result.Salt);
            string HashedPassword = Convert.ToBase64String(passwordHash);
            //hash salt the string password
            if (HashedPassword == result.Password)
            //check if the HashedPassword (string password) matches the stored student.Password
            {
                return result.StudentID;
                // if it does return the Students ID                     
            }


        }
        return "Login Failed";
        //if it doesnt return login failed 
    }
    #endregion

我也是从控制台应用程序托管的,我没有 web.config 文件或 app.config 文件。而且因为我使用了自己的身份验证方法,所以我不确定基本身份验证是否可行。

我也不想为了保持服务 SOA 和无状态而保持会话。

控制台应用程序:

namespace ConsoleApplication1
{
    class Program
    {
        static void Main(string[] args)
        {
            string baseAddress = "http://" + Environment.MachineName + ":8000/Service";
            ServiceHost host = new ServiceHost(typeof(Service), new Uri(baseAddress));
            WebHttpBinding binding = new WebHttpBinding();
            binding.Security.Mode = WebHttpSecurityMode.Transport;
            host.AddServiceEndpoint(typeof(IService), new WebHttpBinding(), "").Behaviors.Add(new WebHttpBehavior());
            host.Open();
            Console.WriteLine("Host opened");
            Console.ReadLine();

        }
    }
}

请注意,在我的客户端,我做了一些非常基本的事情来进行身份验证:

    private void Login_Click(object sender, RoutedEventArgs e)
    {

        //Authenticate user (GET Request)
        string uri = string.Format("http://localhost:8000/Service/AuthenticateUser/{0}/{1}", textBox1.Text, passwordBox1.Password);
        XDocument xDoc = XDocument.Load(uri);
        string UserAuthenticationID = xDoc.Element("string").Value;
        Int32 value;
        if (Int32.TryParse(UserAuthenticationID, out value))
        {
            MainWindow authenticatedidentification = new MainWindow(); 
            authenticatedidentification.SetLabel(UserAuthenticationID);
            authenticatedidentification.Show();
            this.Close();
        }
        else
        {
            label1.Content = UserAuthenticationID;
        }
    }

因此,我不确定如果上述任何内容,还必须向主应用程序携带什么,以便主应用程序访问这些休息请求。

4

4 回答 4

0

为什么不为您的 REST 服务使用 OAuth 或 OpenID?!有 OAuth 2.0 或更早版本。也有客户端和服务器的实现。OAuth 通行证适用于 REST 服务

您不需要创建自己的机制。

OAuth 的主站点 - http://oauth.net/code/ 在那里您可以找到有关 OAuth 的工作原理、流程等的描述。还有实现的链接,例如DotnetOpenAuth

最新规范 - https://datatracker.ietf.org/doc/html/draft-ietf-oauth-v2。

您可以在他们的 Github 存储库https://github.com/AArnott/dotnetopenid/tree/master/samples上找到很多 DotNetOAuth 的 OAuth 实现示例

于 2012-05-02T14:14:15.213 回答
0

所以通常这样做的方式是

  1. 客户端通过身份验证服务调用提供一些凭据
  2. 该服务验证这些凭据并交还一些身份验证令牌。

  3. 随后的调用使用该令牌进行身份验证。

    这可以通过发送令牌(例如http 摘要身份验证)或更安全的方式来完成,令牌是用于计算参数上的消息身份验证代码的密钥。这可以防止任何人篡改请求。

这里有一个关于如何在 WCF 中执行此操作的不错的讨论。请参阅“安全注意事项”部分和“实施身份验证和授权”部分

因此,假设您已经完成了此操作(或者您在每个请求中都发送了用户名和密码——这是一个坏主意,但是嘿,这只是为了教育目的)并且您有一个 AuthenticateUser 方法,如果用户未通过身份验证,则该方法返回 false。现在在每个公开的 REST 方法中添加此调用(参数可以是用户名和密码,也可以是身份验证令牌)

if (!AuthenticateUser(/* auth params here */))

{

    WebOperationContext.Current.OutgoingResponse.StatusCode =

        HttpStatusCode.Unauthorized;

    return;
}

这会导致请求失败,并且客户端将获得 HTTP 403 Forbiden 响应。

我假设您正在使用 HttpWebRequest 来调用 REST API。

因此,在您的客户端程序中,在您准备好请求后,添加您需要的任何参数,执行此操作

try
{
    var wResp = (HttpWebResponse)wReq.GetResponse();
    var wRespStatusCode = wResp.StatusCode;
}
catch (WebException we)
{
    var wRespStatusCode = ((HttpWebResponse)we.Response).StatusCode;
    if( wRespStatusCode == HttpStatusCode. Unauthorized)
    {
       // call to your sign in / login logic here
    } else{
        throw we;
    }
}

您需要以某种方式在请求中包含身份验证令牌,作为 get 或 post 参数或在标头中。发布或获取只是将参数添加到请求数据的问题。标题有点困难,我相信它在我上面引用的 MSDN 链接中概述。

于 2012-05-02T07:06:07.053 回答
-1

@jbtule 和 @Damien_The_Unbeliever 在使用散列密码存储盐方面提出了很好的观点。

至于您如何实现它的问题,我不会将其作为单独的服务方法进行,而是将身份验证部分作为方法调用本身。然后由客户端通过服务调用传递凭据。

这个链接详细描述了如何完成它,从服务器和客户端看它是什么样子的,等等。

编辑:您可以传递登录令牌并在执行请求之前检查它在 Web 服务上是否有效,而不是像上面链接中那样在消息凭据中传递用户名和密码。

于 2012-04-30T22:42:07.073 回答
-2

我最近(过去几周)的方式是通过 IDispatchMessageInspector。在消息检查器类中,我使用 securityContext.AuthorizationContext.ClaimSets 来检查客户端(调用者)的证书,但您可以使用自定义标头(用户、密码)并查看 OperationContext.Current.IncomingMessageHeaders。在 AfterReceiveRequest() 中,如果用户不是有效用户,我要么抛出错误,要么简单地返回 null 表示成功。

然后我创建了一个属性,将我的检查器 (MessageInspector) 添加到服务类:

[AttributeUsage(AttributeTargets.Class)]
public class AuthorizeAttribute : Attribute, IServiceBehavior
{
    public void AddBindingParameters(ServiceDescription serviceDescription, ServiceHostBase serviceHostBase, Collection<ServiceEndpoint> endpoints, BindingParameterCollection bindingParameters)
    {
    }

    public void ApplyDispatchBehavior(ServiceDescription serviceDescription, ServiceHostBase serviceHostBase)
    {
        foreach (ChannelDispatcherBase dispatcher in serviceHostBase.ChannelDispatchers)
        {
            var channelDispatcher = dispatcher as ChannelDispatcher;
            if (channelDispatcher != null)
            {
                foreach (EndpointDispatcher endpointDispatcher in channelDispatcher.Endpoints)
                {
                    var inspector = new MessageInspector();
                    endpointDispatcher.DispatchRuntime.MessageInspectors.Add(inspector);
                }
            }
        }

        //var config = new ServiceLayerConfiguration();
        //config.RequestProcessorImplementation = typeof(PassThruRequestProcessor);
        //config.Initialize();

    }

    public void Validate(ServiceDescription serviceDescription, ServiceHostBase serviceHostBase)
    {
    }
}

最后在服务类中,我只需添加属性。

[AuthorizeAttribute]
public class OperaService : IMyService

如有必要,我可以提供更多详细信息。我的盒子上还有客户端/服务应用程序。:)

于 2012-04-30T23:11:59.973 回答