2

我有一个使用 TransportSecurityBindingElement 安全元素的 WCF 自定义绑定,但客户端和(第三方)服务器上的时间准确性一直存在问题。

如何删除秒以使时间戳仅精确到分钟(我被告知服务器将接受这一点)。

我的替代想法是在每次请求之前更新系统时间,但是这假设(错误地)服务器时间是准确的。我也尝试过完全删除时间戳(可能不需要),但我得到一个System.InvalidOperationException说法Signing without primary signature requires timestamp.

.Net 构建安全元素的代码:

    Dim msgSecVer As System.ServiceModel.MessageSecurityVersion = ServiceModel.MessageSecurityVersion.WSSecurity10WSTrustFebruary2005WSSecureConversationFebruary2005WSSecurityPolicy11BasicSecurityProfile10

    Dim tsbe As TransportSecurityBindingElement = SecurityBindingElement.CreateCertificateOverTransportBindingElement(msgSecVer)
    tsbe.EnableUnsecuredResponse = True
    tsbe.SetKeyDerivation(False)
    tsbe.AllowInsecureTransport = True
    tsbe.IncludeTimestamp = True

    'adding clock skew doesn't seem to make any difference?
    Dim clockSkew As TimeSpan = TimeSpan.FromMinutes(1)
    tsbe.LocalClientSettings.MaxClockSkew = clockSkew
    tsbe.LocalServiceSettings.MaxClockSkew = clockSkew

    Return tsbe

消息头,注意(可能超出)时间戳的准确性:

POST http://wwwqa.xxxx.com/services/
Content-Type: text/xml; charset=utf-8
VsDebuggerCausalityData: xxxx
SOAPAction: ""
Host: wwwqa.xxxx.com
Content-Length: 2400
Expect: 100-continue
Connection: Keep-Alive

<s:Envelope xmlns:s="http://schemas.xmlsoap.org/soap/envelope/" xmlns:u="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd">
    <s:Header>
        <o:Security s:mustUnderstand="1" xmlns:o="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd">
            <u:Timestamp u:Id="_0">
                <u:Created>2013-12-04T10:53:13.568Z</u:Created>
                <u:Expires>2013-12-04T10:58:13.568Z</u:Expires>
            </u:Timestamp>
            <o:BinarySecurityToken u:Id="uuid-bc441202-xxxx-xxxx-a176-02f2a61a6002-1" ValueType="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3">....xxxx....</o:BinarySecurityToken>
            <Signature xmlns="http://www.w3.org/2000/09/xmldsig#">
                <SignedInfo>
                    <CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
                    <SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1"/>
                    <Reference URI="#_0">
                        <Transforms>
                            <Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
                        </Transforms>
                        <DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/>
                        <DigestValue>xxxx</DigestValue>
                    </Reference>
                </SignedInfo>
                <SignatureValue>xxxx</SignatureValue>
                <KeyInfo>
                    <o:SecurityTokenReference><o:Reference URI="#uuid-bc441202-xxxx-xxxx-a176-02f2a61a6002-1"/></o:SecurityTokenReference>
                </KeyInfo>
            </Signature>
        </o:Security>
    </s:Header>
4

2 回答 2

2

我认为完成它的唯一方法是在您的客户端中移动到仅传输安全,然后在自定义编码器中自己添加安全标头。生成安全标头包括:

  1. 生成时间戳并将其推送到 SOAP(简单)。
  2. 生成签名(硬)。见这里,GetSignature在这里评论了我们的方法。然后将其推送到 SOAP。

要操作 SOAP 实现编码器,并在您有权访问消息的 WriteMessage 方法中将其加载到 XmlDocument 并对其进行操作(例如,添加标头)。

于 2014-01-21T19:04:23.530 回答
-1

如果您正在使用 IIS 运行 WCF 主机,则可以添加一个自定义编写的模块 - 一个 .NET DLL - 拦截 IIS 中的消息,读取、解析和删除秒数,然后将消息传递到您的 WCF 服务。

我记得,模块程序获取并读取 HTTPContext,允许您以任何您喜欢的方式更改消息,甚至将全新的字段添加到标题和正文部分。

但这种方法只有在您使用 IIS 来管理或管理您的 Web 服务时才有效。

这是它的链接:http ://www.iis.net/learn/get-started/introduction-to-iis/iis-modules-overview#Querying

于 2014-01-17T11:56:56.740 回答