http - 使用 HTTP 的 WCF 自定义用户名身份验证

Question

我正在尝试将我的 WCF 服务配置为通过 HTTP 和我的 ASP.NET 开发服务器使用自定义用户名验证器。以下是 serviceModel 的部分...

<basicHttpBinding>
    <binding name="Authentication" >
      <security mode="TransportCredentialOnly" >
        <message clientCredentialType="UserName"/>
      </security>
    </binding>
</basicHttpBinding>

  <service behaviorConfiguration="ApiBehavior" name="CriticalWatch.AuthenticationAPI.AuthenticationAPI">
    <endpoint address="/" binding="basicHttpBinding" bindingConfiguration="AuthenticationBinding" name="Authentication" contract="CriticalWatch.AuthenticationAPI.IAuthenticationAPI" />
  </service>

然后我对验证器有一个行为......

  <serviceBehaviors>
    <behavior name="ApiBehavior">
      <serviceMetadata httpGetEnabled="true" />
      <serviceDebug includeExceptionDetailInFaults="true" />
      <serviceCredentials>
        <userNameAuthentication userNamePasswordValidationMode="Custom" customUserNamePasswordValidatorType="Service.CustomUserNameValidator, MyService" />
      </serviceCredentials>

    </behavior>
  </serviceBehaviors>

我的 CustomUserNameValidator 继承自 UserNamePasswordValidator。验证器类被实例化，但从未调用 Validate 方法。另外，客户端可以在不传递任何用户名和密码的情况下调用该方法。

我错过了什么？

这时候，我想要一个不需要 HTTPS 的解决方案。我想依赖随消息传递的用户名和密码。

Answer 1

另外，请参阅我的博客文章，了解如何实现一个绑定，允许您在没有 SSL 的情况下通过 HTTP 传递用户名和密码：http: //blog.tonysneed.com/2012/06/18/building-scalable-and-secure- wcf-services/但是请记住，通过非安全传输以明文方式传递凭据并不是一个好主意。我描述的技术假设您正在使用另一种机制（例如 IPSec）来保护传输，并且它对于支持 SSL 终止以获得更好的可伸缩性的负载平衡器很有用。

为了具体解决您的场景，我建议您咬紧牙关，使用 SSL 设置您的开发环境，以便您可以将 HTTPS 绑定与 WCF 和您的用户名密码验证器一起使用。这比实现自定义绑定元素要容易得多，也没有您想象的那么困难。事实上，如果您安装了 IIS Express，您将获得一个自签名证书，您可以轻松地将其用作 IIS 或 Windows 服务上的证书。

干杯，托尼·斯尼德

Answer 2

默认情况下，WCF 框架不允许通过 HTTP 通道传输用户名/密码作为其明文和安全违规，因此当您切换到 HTTPS 时，用户名/密码验证器会起作用。如果您想让用户名/密码验证器在 HTTP 上工作，您可能需要编写执行此操作的自定义服务主机工厂。您可以找到一个很久以前就出现在这里的ClearUserNameBinding。它允许您通过 HTTP 执行用户名/密码验证。

注意：如前所述，出于安全考虑，不建议在 HTTP 上使用用户名/密码，但如果您确定您的服务位于足够安全的防火墙之后，并且从客户端到防火墙的调用是安全的，因此用户名/密码是没有妥协，那么你可以使用它

Answer 3

请参阅如何在 ASP.NET中设置无 SSL 的基本身份验证，其中提供了指向HTTP 请求未经授权的客户端身份验证方案“基本”的链接。这让我摆脱了困境。