6

我一直在尝试使用 WCF 创建一个相对简单的自托管 RESTful 服务,但我想添加自定义身份验证。为此,我尝试覆盖UserNamePasswordValidator. 不幸的是,尽管调用它来验证用户名/密码组合,但如果用户名/密码不通过,服务器会返回 403 Forbidden,而不是 401 Unauthorized,正如我所期望的那样。这将导致一个大问题,因为如果用户第一次验证失败,除非他们重新启动浏览器,否则不会提示他们再次输入凭据。那么,我做错了什么?

这是我到目前为止所拥有的:

(实际ServiceContract包含一个返回字符串的方法)

class Program
{
    static void Main(string[] args)
    {
        WebServiceHost host = null;
        try
        {
            host = new WebServiceHost(typeof (MyService));
            const string uri = "http://127.0.0.1/MyService";
            var wb = new WebHttpBinding
                            {
                                Security =
                                    {
                                        Mode = WebHttpSecurityMode.TransportCredentialOnly,
                                        Transport = {ClientCredentialType = HttpClientCredentialType.Basic}
                                    }
                            };
            var ep = host.AddServiceEndpoint(typeof (IMyService), wb, uri);
            host.Credentials.UserNameAuthentication.UserNamePasswordValidationMode = UserNamePasswordValidationMode.Custom;
            host.Credentials.UserNameAuthentication.CustomUserNamePasswordValidator = new PasswordValidator();
            host.Open();

            Console.WriteLine("Press any key to terminate");
            Console.ReadKey();
        }
        finally
        {
            if (host != null) host.Close();
        }
    }
}

public class PasswordValidator : UserNamePasswordValidator
{
    public override void Validate(string userName, string password)
    {
        if (null == userName || null == password)
            throw new ArgumentNullException();

        if (userName == "Test" && password == "Password") return;
        throw new WebFaultException(HttpStatusCode.Unauthorized);
    }
}

我已经注意到了另一个类似的问题,但是那里发布的答案都没有真正起作用。我希望这个问题的更完整定义的版本会引起一些更好的回应。

4

1 回答 1

7

试试这个:

public override void Validate(string userName, string password) 
{ 
    if (null == userName || null == password)             
        throw new ArgumentNullException(); 
    if (userName == "Test" || password == "Password") return; 

    WebFaultException rejectEx = new WebFaultException(HttpStatusCode.Unauthorized);
    rejectEx.Data.Add("HttpStatusCode", rejectEx.StatusCode);
    throw rejectEx;
} 

据我所知,这是一种未记录的技术,它依赖于 WCF 堆栈如何在内部管理异常。应该有记录的方式,但我还没有找到。

于 2012-09-14T10:38:59.213 回答