3

我是菜鸟;请帮助我理解这个让我非常困惑的身份验证配置/绑定的东西。

我在 Win 2008 上的 IIS 7 上部署了一个 C# WCF 服务。我的客户端是一个 Windows 窗体 C# 应用程序。我的客户端在运行 WCF 服务的同一台服务器上运行时运行良好,但是当我尝试从远程 PC 运行客户端时,出现以下异常...

System.ServiceModel.Security.SecurityNegotiationException:调用者未通过服务的身份验证。

我已经阅读了一些关于这些问题的帖子,并且知道我的问题是因为我的服务和客户端配置为使用 Windows 身份验证,我猜这是使用 Visual Studio 创建服务并添加服务引用时的默认设置给客户。以下是我进行任何更改之前的配置,当时它仍设置为 Windows(删除了不相关的位)...

网络配置

<system.web>
    ...
    <authentication mode="Windows"/>
    ...

<system.serviceModel>
    <services>
        <service name="MCLaborServer.LaborService" behaviorConfiguration="MCLaborServer.LaborServiceBehavior">
            <!-- Service Endpoints -->
            <endpoint address="" binding="wsHttpBinding" contract="MCLaborServer.ILaborService">
                <!-- 
          Upon deployment, the following identity element should be removed or replaced to reflect the 
          identity under which the deployed service runs.  If removed, WCF will infer an appropriate identity 
          automatically.
      -->
                <identity>
                    <dns value="localhost"/>
                </identity>
            </endpoint>
            <endpoint address="mex" binding="mexHttpBinding" contract="IMetadataExchange"/>
        </service>
    </services>
    <behaviors>
        <serviceBehaviors>
            <behavior name="MCLaborServer.LaborServiceBehavior">
                <!-- To avoid disclosing metadata information, set the value below to false and remove the metadata endpoint above before deployment -->
                <serviceMetadata httpGetEnabled="true"/>
                <!-- To receive exception details in faults for debugging purposes, set the value below to true.  Set to false before deployment to avoid disclosing exception information -->
                <serviceDebug includeExceptionDetailInFaults="false"/>
            </behavior>
        </serviceBehaviors>
    </behaviors>
</system.serviceModel>

从客户端上的 App.Config ......

<system.serviceModel>
    <bindings>
        <wsHttpBinding>
            <binding name="WSHttpBinding_ILaborService" closeTimeout="00:01:00"
                openTimeout="00:01:00" receiveTimeout="00:10:00" sendTimeout="00:01:00"
                bypassProxyOnLocal="false" transactionFlow="false" hostNameComparisonMode="StrongWildcard"
                maxBufferPoolSize="524288" maxReceivedMessageSize="65536"
                messageEncoding="Text" textEncoding="utf-8" useDefaultWebProxy="true"
                allowCookies="false">
                <readerQuotas maxDepth="32" maxStringContentLength="8192" maxArrayLength="16384"
                    maxBytesPerRead="4096" maxNameTableCharCount="16384" />
                <reliableSession ordered="true" inactivityTimeout="00:10:00"
                    enabled="false" />
                <security mode="Message">
                    <transport clientCredentialType="Windows" proxyCredentialType="None"
                        realm="" />
                    <message clientCredentialType="Windows" negotiateServiceCredential="true"
                        algorithmSuite="Default" establishSecurityContext="true" />
                </security>
            </binding>
        </wsHttpBinding>
    </bindings>
    <client>
        <endpoint address="http://<myDnsNameGoesHere>/MCLaborServer/LaborService.svc"
            binding="wsHttpBinding" bindingConfiguration="WSHttpBinding_ILaborService"
            contract="LaborService.ILaborService" name="WSHttpBinding_ILaborService">
            <identity>
                <dns value="localhost" />
            </identity>
        </endpoint>
    </client>
</system.serviceModel>

因此,首先我在 web.config 中更改了“authentication mode="None"”,并在客户端的 app.config 中设置了“security mode="None"”,并为消息和传输设置了 clientCredentialType="None"。我还注释掉了 web.config 和客户端 app.config 中的“身份”部分。但这完全破坏了它,现在本地运行的客户端甚至无法工作;它给出了“远程服务器返回了意外响应:(405)方法不允许”错误。

那么我可以做些什么来关闭安全性以便我可以使用远程客户端进行连接?我确实在 IIS 中为我​​的应用程序启用了匿名访问。

我还想问一下,配置它的最佳实践方法是什么,这样我就可以通过互联网以半安全的方式在远程客户端上进行 Web 服务调用,而无需使用 SSL 或做任何会花钱的事情。我并不真正关心数据的安全性,因为它不是真正的敏感数据,但我仍然想确保服务器不会受到攻击。

另外,我读到我可以使用 Windows 身份验证,然后在代码中明确指定凭据,如下所示。如果我这样做,它仍然可以远程工作吗?如果是这样,这是否最终会使我的服务器的 Windows 凭据以不安全的方式通过网络发送,那么我是否愿意让我的凭据被劫持?

SomeService.ServiceClient someService = new SomeService.ServiceClient(); 
someService.ClientCredentials.Windows.ClientCredential.UserName="windowsuseraccountname" 
someService.ClientCredentials.Windows.ClientCredential.Password="windowsuseraccountpassword"

我已经阅读了以下帖子/链接,但仍然感到困惑。谢谢你的帮助!

WCF 错误:调用者未通过服务的身份验证

如何解决“调用者未通过服务验证”?

http://msdn.microsoft.com/en-us/library/aa291347(v=vs.71).aspx

http://www.devx.com/codemag/Article/33342/1763/page/2

4

2 回答 2

1

在设置跨域运行的低安全性 WCF 服务时,我们遇到了类似的问题。最大的问题之一(如果你可以这么称呼的话)是 WCF 默认配置为非常安全。因为我们的应用程序完全在一个安全的网络中,所以我们不想为许多复杂的证书而烦恼。我们的解决方法是创建一个自定义绑定,允许我们在没有任何加密的情况下对我们的服务使用用户名/密码身份验证。我们的实现基于Yaron Naveh 的 Clear Username Binding。我建议您看一下(以及他介绍它的博客文章)。

一些学习 WCF 绑定和安全的好资源:

于 2012-06-13T15:53:32.610 回答
1

我通过将绑定更改为 basicHttpBinding、将身份验证更改为 Forms 并关闭安全性来解决此问题。

于 2012-06-20T22:50:31.540 回答