0

长话短说:

我的 WCF 客户端应该能够为 IIS 中托管的服务提供用户名和证书,我应该使用该信息来使用自定义策略验证请求。

完整的故事:

我需要对一些 WCF 客户端进行身份验证以验证它们是否可以执行操作。

我们有两种客户端:WPF 应用程序和 Web 应用程序。我们想做以下事情:

  • Web 应用程序使用服务信任的证书,以便将其识别为具有所有权限的特殊用户(Web 应用程序已经自行验证权限,我们现在不想碰它)
  • WPF 客户端使用用户提供的用户名/密码进行身份验证

在执行操作时,我想验证是否提供了证书(然后我识别出“超级用户”),否则回退到用户名/密码验证。

服务托管在 IIS 7 中,我们需要使用 NetTcpBinding。我能够实现用户名验证,但问题是服务检查的 AuthorizationContext 仅包含身份信息,而不包含证书。以下代码在客户端用于初始化通道的创建(来自我用来测试解决方案的尖峰):

var factory = new ChannelFactory<T>(this.Binding, address);

        var defaultCredentials = factory.Endpoint.Behaviors.Find<ClientCredentials>();
        factory.Endpoint.Behaviors.Remove(defaultCredentials);

        var loginCredentials = new ClientCredentials();
        loginCredentials.ServiceCertificate.Authentication.CertificateValidationMode =
                     X509CertificateValidationMode.None;
        loginCredentials.UserName.UserName = username;
        loginCredentials.UserName.Password = password;
        if (useCertificate)
        {
            loginCredentials.SetCertificate();
        }

        factory.Endpoint.Behaviors.Add(loginCredentials);
        return factory.CreateChannel();

像这样实现 SetCertificate 扩展:

public static void SetCertificate(this ClientCredentials loginCredentials)
    {
        loginCredentials.ClientCertificate.SetCertificate(StoreLocation.LocalMachine, StoreName.My, X509FindType.FindBySubjectName, "SecureWcfClient");
    }

这是托管服务的 Web 应用程序的配置:

<system.serviceModel>
<behaviors>
  <serviceBehaviors>
    <behavior name="SecureBehavior">
      <serviceMetadata httpGetEnabled="true" />
      <serviceDebug includeExceptionDetailInFaults="true" />
      <serviceCredentials>
        <serviceCertificate findValue="Test"
              storeLocation="LocalMachine"
              storeName="My"
              x509FindType="FindBySubjectName" />
        <clientCertificate>
          <authentication certificateValidationMode="Custom" customCertificateValidatorType="AuthenticationProtectedService.Security.CertificateValidator, AuthenticationProtectedService.Security"/>
        </clientCertificate>
        <userNameAuthentication userNamePasswordValidationMode="Custom"
         customUserNamePasswordValidatorType="AuthenticationProtectedService.Security.UserNamePassValidator, AuthenticationProtectedService.Security" />
      </serviceCredentials>
      <serviceAuthorization serviceAuthorizationManagerType="AuthenticationProtectedService.Security.CertificateAuthorizationManager, AuthenticationProtectedService.Security"/>
    </behavior>
  </serviceBehaviors>
</behaviors>
<bindings>
  <netTcpBinding>
    <binding>
      <security mode="None"/>
    </binding>
    <binding name="SecureNetTcp">
      <security mode="Message">
        <message clientCredentialType="UserName"/>
      </security>
    </binding>
  </netTcpBinding>
</bindings>
  <service
  name="AuthenticationProtectedService.Services.OneWayServiceB"
  behaviorConfiguration="SecureBehavior">
    <endpoint
        address=""
        binding="wsHttpBinding"
        contract="AuthenticationProtectedService.ServiceModel.IOneWayServiceB">
    </endpoint>
  </service>
  <service
  name="AuthenticationProtectedService.Services.DuplexServiceB" behaviorConfiguration="SecureBehavior">
    <endpoint
        address=""
        binding="netTcpBinding"
        bindingConfiguration="SecureNetTcp"
        contract="AuthenticationProtectedService.ServiceModel.IDuplexServiceB">
    </endpoint>
    <endpoint address="mex" binding="mexTcpBinding" contract="IMetadataExchange"/>
  </service>
</services>
<serviceHostingEnvironment multipleSiteBindingsEnabled="true" />

最后,这是自定义授权管理器的实现(我也尝试使用自定义证书验证器,但该功能从未运行)

public class CertificateAuthorizationManager : ServiceAuthorizationManager
{
    protected override bool CheckAccessCore(OperationContext operationContext)
    {
        if (!base.CheckAccessCore(operationContext))
        {
            return false;
        }

        string thumbprint = GetCertificateThumbprint(operationContext);

        // I'd need to verify the thumbprint, but it is always null
        return true;
    }

    private string GetCertificateThumbprint(OperationContext operationContext)
    {
        foreach (var claimSet in operationContext.ServiceSecurityContext.AuthorizationContext.ClaimSets)
        {
            foreach (Claim claim in claimSet.FindClaims(ClaimTypes.Thumbprint, Rights.Identity))
            {
                string tb = BitConverter.ToString((byte[])claim.Resource);
                tb = tb.Replace("-", "");
                return tb;
            }
        }

        return null;
    }
}

我认为问题可能出在服务配置上 nettcpbinding.Security.Message 节点的 clientCredentialType 属性中,但我看不到在消息安全性中同时使用证书和用户名的选项。

任何帮助表示赞赏,谢谢

备注:该项目的一个特定目标是对服务器设置和系统的总体影响非常低,因此如果可能的话,也应该避免使用 SSL。

4

1 回答 1

0

试试这个链接http://msdn.microsoft.com/en-us/library/ms733099.aspx ...它可能会解决您的问题,您可以为相同的绑定类型设置不同的绑定配置并将相同的绑定配置关联到不同的端点根据您的需要。

于 2013-07-26T20:48:12.987 回答