1

我需要根据用户名/密码身份验证生成并向客户端发出令牌。我已经尝试了几种方法来解决这个问题,但它们都遇到了问题。

我的第一个计划是在我的 WCF 端点上实现 WS-Trust 问题。我发现这样做的例子是:

[OperationContract(Action = "http://schemas.xmlsoap.org/ws/2005/02/trust/RST/Issue",
                   ReplyAction = "http://schemas.xmlsoap.org/ws/2005/02/trust/RSTR/Issue")]
Message IssueToken(Message rstMessage);

但是,4.5 中对 WIF 的更改以将其集成到 .NET Framework 中,这破坏了将 Message 转换为 RequestSecurityToken 的示例代码的其余部分。WSTrustRequestSerializer 似乎可以做到这一点,但它需要 WSTrustSerializationContext,关于如何创建或配置此上下文对象的信息很少。

我尝试简单地将要用于我的 SecurityToken 类型的 JWT 序列化为字符串并将其返回给客户端,但看起来将其反序列化为 WCF 可以使用的 SecurityToken 需要我在客户端上发送 JWTSecurityToken 和 Handler ,我想避免的事情。虽然 WS-Trust 绑定似乎以某种方式回避了这一点并生成了一个 GenericXmlSecurityToken,但我似乎无法找到如何自己创建其中一个。

关于如何序列化/反序列化 WS-Trust 中的 RequestSecurityToken 和 RequestSecurityTokenResponse 对象,或者如何序列化/反序列化 WS-Trust 框架之外的令牌的任何想法?还是其他想法?

4

2 回答 2

4

我所做的是:我创建了自己的响应消息版本,其中包含创建 GenericXmlSecurityToken 所需的位。这通常是从 WSTrustChannel 返回的,所以这似乎是正确的做法。值得庆幸的是,包装 JWT 的 GenericXmlSecurityToken 的大多数参数都是空的。我只需要序列化令牌,使用服务中 JWTSecurityTokenHandler 上的 WriteToken 序列化,以及 validFrom 和 validTo 值。

客户端代码:

XmlElement element = document.CreateElement("wsse", "BinarySecurityToken", "http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd");
element.SetAttribute("ValueType", "urn:ietf:params:oauth:token-type:jwt");
element.SetAttribute("EncodingType", "http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#Base64Binary");
UTF8Encoding encoding = new UTF8Encoding();
element.InnerText = Convert.ToBase64String(encoding.GetBytes(jwtToken));

GenericXmlSecurityToken token = new GenericXmlSecurityToken(
    element,
    null,
    validFrom,
    validTo,
    null,
    null,
    null);

var binding = new WS2007FederationHttpBinding(WSFederationHttpSecurityMode.TransportWithMessageCredential);
binding.Security.Message.IssuedKeyType = SecurityKeyType.BearerKey;
binding.Security.Message.EstablishSecurityContext = false;
binding.Security.Message.IssuedTokenType = "urn:ietf:params:oauth:token-type:jwt";

var factory2 = new ChannelFactory<IService1>(binding, new EndpointAddress("https://localhost:44300/Service1.svc"));
factory2.Credentials.SupportInteractive = false;
factory2.Credentials.UseIdentityConfiguration = true;

var proxy = factory2.CreateChannelWithIssuedToken(token);

var info = proxy.DoWork();

web.config 的相关位:

绑定:

<ws2007FederationHttpBinding>
  <binding>
    <security mode="TransportWithMessageCredential">
      <message issuedKeyType="BearerKey" establishSecurityContext="false" issuedTokenType="urn:ietf:params:oauth:token-type:jwt"/>
    </security>
  </binding>
</ws2007FederationHttpBinding>

身份模型部分:

<system.identityModel>
  <identityConfiguration>
    <audienceUris>
      <add value="--audienceUri--"/>
    </audienceUris>
    <securityTokenHandlers>
      <add type="--namespace--.CustomJWTSecurityTokenHandler, --my dll--" />
      <securityTokenHandlerConfiguration>
        <certificateValidation certificateValidationMode="PeerTrust"/>
      </securityTokenHandlerConfiguration>
    </securityTokenHandlers>
    <issuerNameRegistry>
      <trustedIssuers>
        <add name="--issuer--"  thumbprint="--thumbprint--"/>
      </trustedIssuers>
    </issuerNameRegistry>
  </identityConfiguration>
</system.identityModel>

还有来自这个问题的 CustomJWTSecurityTokenHandler (我的场景只需要 validIssuer 部分):How to configure MIcrosoft JWT with symmetric key?

我还没有看到在其他地方使用的issuedTokenType 属性,但我发现它对于让我的代码正常工作是必不可少的。没有它,我收到此错误:“MessageSecurityException:找不到'Microsoft.IdentityModel.Tokens.JWT.JWTSecurityToken'令牌类型的令牌身份验证器。根据当前的安全设置,无法接受该类型的令牌。”

作为一种解决方案,这可能有点矫枉过正,但我​​认为它最大限度地减少了自定义代码的数量,并将其集中在我觉得更舒服的地方。

感谢 user2338856 和 minimumprivilege 让我中途到达!

于 2013-05-02T05:14:42.763 回答
1

AFAIK,你需要一个 WSFederationBinding 。开箱即用,这只支持 Saml 令牌。要让它支持 Jwt 令牌,您需要添加一个能够在 WiF 管道中处理它的 securitytokenhandler。不幸的是,来自 Microsoft 的实验处理程序对配置文件不友好,因此您需要对其进行子类化以允许您在 config.xml 中指定属性。或者,您可以使用 ThinkTecture Jwt 处理程序,该处理程序在配置中也不是很容易设置。设置所有这些将花费您相当长的时间,而且我不知道网络上有任何这样做的示例。

于 2013-05-01T09:10:40.353 回答