c# - 使 Wcf 服务集成 Windows 身份验证

Question

当我在 IIS 中将 Windows 身份验证启用和匿名设置为禁用时，我收到以下错误。

主机上配置的身份验证方案（'IntegratedWindowsAuthentication'）不允许在绑定'BasicHttpBinding'（'Anonymous'）上配置的那些。请确保将 SecurityMode 设置为 Transport 或 TransportCredentialOnly。此外，可以通过 IIS 管理工具、通过 ServiceHost.Authentication.AuthenticationSchemes 属性、在元素的应用程序配置文件中更改此应用程序的身份验证方案、通过更新绑定上的 ClientCredentialType 属性或通过调整来解决此问题HttpTransportBindingElement 上的 AuthenticationScheme 属性。

我的 Wcf 服务的 web.config 如下...

<?xml version="1.0"?>
<configuration>
  <appSettings>
    <add key="aspnet:UseTaskFriendlySynchronizationContext" value="true" />
  </appSettings>
  <system.web>
    <compilation debug="true" targetFramework="4.5" />
    <httpRuntime targetFramework="4.5"/>
  </system.web>
  <system.serviceModel>
    <bindings>
      <basicHttpBinding>
        <binding name="BasicHttpEndpointBinding">
          <security mode="TransportCredentialOnly">
            <transport clientCredentialType="Windows" />
          </security>
        </binding>
      </basicHttpBinding>
    </bindings>
    <client>
      <endpoint binding="basicHttpBinding" 
        bindingConfiguration="BasicHttpEndpointBinding"
        contract="Test.IService1" name="BasicHttpEndpoint" />
    </client>
    <behaviors>
      <serviceBehaviors>
        <behavior>
          <serviceAuthenticationManager 
             authenticationSchemes="IntegratedWindowsAuthentication"/>
          <serviceMetadata httpGetEnabled="true" httpsGetEnabled="false"/>
          <serviceDebug includeExceptionDetailInFaults="true"/>
        </behavior>
      </serviceBehaviors>
    </behaviors>
    <protocolMapping>
        <add binding="basicHttpBinding" scheme="http" />
    </protocolMapping>    
    <serviceHostingEnvironment aspNetCompatibilityEnabled="true"
         multipleSiteBindingsEnabled="true" />
  </system.serviceModel>
  <system.webServer>
    <modules runAllManagedModulesForAllRequests="true"/>
    <directoryBrowse enabled="true"/>
  </system.webServer>
</configuration>

请指教..

Answer 1

在 .Net 4.0+ 中，当配置未在 <services> 部分中基于每个服务显式设置时，简化的 WCF 配置使用“匿名”配置。如果从 <binding> 元素中删除 name="BasicHttpEndpointBinding"，或者如果将该 <binding> 元素复制为没有 name 属性的新元素，它将成为 WCF 服务将使用的默认匿名绑定。这在您需要提供和使用可能不具有相同配置的 WCF 服务的情况下通常很有用 - 但至少您可以为没有特定配置集的服务设置默认配置。默认/匿名概念也适用于 <behavior> 元素。

<bindings>
  <basicHttpBinding>
    <binding> <!--Notice, no name attribute set-->
      <security mode="TransportCredentialOnly">
        <transport clientCredentialType="Windows" />
      </security>
    </binding>
  </basicHttpBinding>
</bindings>

另外，我可能会补充一点，如果您的 WCF 服务需要身份验证，这意味着您将需要使用真实用户帐户使用该服务，或者您需要授予 DOMAIN\CLIENTCOMPUTERNAME$ 帐户对该服务的访问权限 - 所以，也许对许多人来说正确的解决方案可能是更改配置以允许匿名访问（我的回答中没有讨论）。尽管如此，我有时确实会选择使用 Windows (Kerberos) 身份验证来保护我的 WCF 服务。

Answer 2

添加这个对我有用。

        <bindings>
        <webHttpBinding>
            <binding>
                <security mode="TransportCredentialOnly">
                    <transport clientCredentialType="Windows" />
                </security>
            </binding>
        </webHttpBinding>
    </bindings>

Answer 3

从 .NET 4.0 更新到 .NET 4.5.2 时出现此错误。我将 clientCredentialType 从

<security mode="TransportCredentialOnly">
    <transport clientCredentialType="None"/>
</security>

至

<security mode="TransportCredentialOnly">
    <transport clientCredentialType="InheritedFromHost"/>
</security>

但是，设置 clientCredentialType="Windows" 也同样有效。

Answer 4

使用已经存在的 WCF Web URL 时，我遇到了同样的问题。我尝试了这里提到的所有答案，但总而言之，最后只有两件事有帮助。

1. 更改“打开和关闭 Windows 功能”中的设置。

在本地 IIS 服务器中启用匿名身份验证和 Windows 身份验证。

Answer 5

像其他答案一样，我需要将我的 Web.config 中的绑定更新为：

<basicHttpBinding>
  <binding name="basicHttpBindin1">
    <security mode="TransportCredentialOnly">
      <transport clientCredentialType="Windows" />
    </security>
  </binding>
</basicHttpBinding>

但我还需要更新绑定的实例化：

var binding = new BasicHttpBinding { MaxReceivedMessageSize = 1000000, ReaderQuotas = { MaxDepth = 200 } };

binding.Security.Transport.ClientCredentialType = HttpClientCredentialType.Windows;
binding.Security.Mode = BasicHttpSecurityMode.TransportCredentialOnly;
binding.Security.Message.ClientCredentialType = BasicHttpMessageCredentialType.UserName;

Answer 6

<services>
      <service name="Test.Service1" behaviorConfiguration="TestName">
        <endpoint address="" binding="basicHttpBinding" bindingConfiguration="BasicHttpEndpointBinding" contract="Test.IService1" />
      </service>
    </services>

它解决了我的问题。

Answer 7

我添加了一个 webHttpBinding 并将我的端点指向它，安全设置需要工作。没有它，我的端点使用了默认的 WCF 配置绑定：

    <services>
  <service behaviorConfiguration="ServiceBehavior" name="Service">
    <endpoint address="" binding="webHttpBinding" contract="IService" />
    <endpoint address="mex" binding="mexHttpBinding" contract="IMetadataExchange" />
  </service>
</services>
<behaviors>
  <serviceBehaviors>
    <behavior name="ServiceBehavior">
      <serviceMetadata httpGetEnabled="true" httpsGetEnabled="true" />
      <serviceDebug includeExceptionDetailInFaults="false" />
    </behavior>
  </serviceBehaviors>
</behaviors>
<serviceHostingEnvironment aspNetCompatibilityEnabled="true" multipleSiteBindingsEnabled="true" />
<bindings>
  <webHttpBinding>
      <binding>
        <!--Notice, no name attribute set-->
        <security mode="TransportCredentialOnly">
          <transport clientCredentialType="Windows" />
        </security>
      </binding>
  </webHttpBinding>

</bindings>

Answer 8

我不完全确定为什么，但是当我将“Factory”属性添加到我的 .SVC 文件（您需要将其显式拖动到 Visual Studio）时，一切正常- 无需对 Web.config 中的默认设置进行任何更改！

我添加了Factory="System.ServiceModel.Activation.WebServiceHostFactory"所以我的 .SVC 文件来自这个：

<%@ ServiceHost Language="C#" Debug="true" Service="ServiceNameSpace.ServiceName" CodeBehind="ServiceName.svc.cs" %>

对此：

<%@ ServiceHost Language="C#" Debug="true" Service="ServiceNameSpace.ServiceName" CodeBehind="ServiceName.svc.cs" Factory="System.ServiceModel.Activation.WebServiceHostFactory" %>

唯一的副作用似乎是，当您在浏览器中单击 .SVC 文件时，您会收到“找不到端点”错误，但是当您正确调用它时，该服务可以正常工作。如前所述，我使用的是带有 .NET 4.6 的默认 Web.config（简化的 WCF 配置），因此我可能还需要添加端点详细信息才能使其再次工作。