1

我有一个GetColors将 aGetColorIdsRQ作为参数并返回 a 的方法GetColorIdsRSGetColorIdsRQ是 SOAP 请求并且GetColorIdsRS是 SOAP 响应。下面是每一个的实现细节:

GetColorIdsRQ:

[DataContract]
public class GetColorIdsRQ
{
    [DataMember(Name="UserCredentials",Order=0,IsRequired=true)]
    public UserCredentials UserCredentials { get; set; }
}

用户凭据:

[DataContract(Name="UserCredentials")]
public class UserCredentials
{
    [DataMember(Name="Username",Order=0,IsRequired=true)]
    public string UserName { get; set; }
    [DataMember(Name="Password",Order=1,IsRequired=true)]
    public string Password { get; set; }
}

GetColorIdsRS:

[DataContract]
public class GetColorIdsRS
{
    [DataMember(Name = "ColorsIds", IsRequired = true, Order = 0)]
    public List<Color> ColorIds { get; set; }
}

颜色:

[DataContract(Name="Color")]
public class Color    
{
   [DataMember(Name="Code",IsRequired=true,Order=0)]
   public string Code { get; set; }
   [DataMember(Name="Name",IsRequired=true,Order=1)]
   public string Name { get; set; }  
}

这是方法在接口中声明的方式:

[OperationContract(Name = "GetColorIds")]
GetColorIdsRS GetColorsIds(GetColorIdsRQ req);

这是 GetColorIds 的实现:

public GetColorIdsRS GetColors(GetColorIdsRQ req)
{
    GetColorIdsRS getColorIdsRS = new GetColorIdsRS();
    List<Color> colorIds = new List<Color>();

    req.UserCredentials.UserName = "test";
    req.UserCredentials.Password = "test";

    //Validate Username and Password

    DataTable dtColorIds = Data.GetDataTable("GetColors");

    foreach (DataRow item in dtColorIds.Rows)
    {
        colorIds.Add(new Color { Name = item["Name"].ToString(), 
                                 Code = item["ColorId"].ToString() });
    }

    getColorIdsRS.ColorIds = colorIds;

    return getColorIdsRS;
}

当我从 WCF 测试客户端调用 GetColors 时,请求正文是:

<s:Body>
    <GetColors xmlns="http://test.com/2011/05">
      <req xmlns:i="http://www.w3.org/2001/XMLSchema-instance">
       <UserCredentials>
         <Username>test</Username>
         <Password>test2</Password>
       </UserCredentials>
     </req>
   </GetColors>
 </s:Body>

上面的问题是我想将UsernamePassword节点用于CustomUserNameValidator. 我不知道如何让CustomUserNameValidator识别GetColorIdsRQ用户名和密码节点,以便它可以验证。如果您在GetColors方法中注意到上述内容,我正在设置:

req.UserCredentials.UserName = "test";
req.UserCredentials.Password = "test";

但这显然没有得到验证。这是我的实现CustomUserNamePasswordValidator

public class CustomUserNameValidator : UserNamePasswordValidator
{
    public override void Validate(string userName, string password)
    {
        // check if the user is not test
        if (userName != "test" || password != "test")
            throw new FaultException("Username and Password Failed");
    }
}

所以基本上如果我通过:

req.UserCredentials.UserName = "test";
req.UserCredentials.Password = "test2";

CustomUserNameValidator 应该抛出 FaultException。

还要注意在 GetColors 方法中,我有一个注释“//验证用户名和密码”,我知道我可以这样做:

CustomUserNameValidator val = new CustomUserNameValidator();
val.Validate(req.UserCredentials.UserName,req.UserCredentials.Password)

上面会调用 Validate 方法,但我知道它应该是自动的,然后我必须在每个方法中都这样做。

是否真的要调用 CustomUserNameValidator 的唯一方法是在代理代码中设置 ClientCredentials,例如:

proxy.ClientCredentials.UserName.UserName = "test;
proxy.ClientCredentials.UserName.Password = "test;

以上将导致调用 Validate 方法,但如果我无法执行上述操作并且我将 Username 和 Password 设置为 Request 对象的属性,那么 Validate 将不会被调用,所以我的另一个选择是在每个需要它的操作中我自己的 Validate 方法。如果 ClientCredentials 失败,则不会调用操作,但在我的情况下,我需要调用一个操作,然后让它返回一个带有错误节点的 SOAP 响应,其中包含“无效的用户名和/或密码”而不是抛出故障异常。

基于上述情况,在我的情况下最好避免使用 CustomUserNamePasswordValidator 吗?

如果无法通过代理的客户端凭据设置用户名和密码,而是通过soap请求的主体发送,那么处理此问题的方法似乎是在操作基础上处理验证并且确实这会影响安全设置(例如,是否需要设置 clientCredentialType="Username")

4

1 回答 1

0

这是不可能的,除非您深入研究 WCF 安全管道并实现自定义安全令牌(即使这样您也会发现这是不可能的)以及与此实现相关的所有内容 - 这是很多工作

为什么不使用标准的用户名身份验证?

编辑:

如果您想在消息正文的自定义元素中传递凭据(并且您不会更改安全管道),则验证由您决定 - 它不会被路由到用户名验证器。您必须在操作中执行此操作,或者您可以构建自定义消息检查器(实现IMessageInspector)并使用自定义端点行为()包装它以IEndpointBehavior集中验证。

于 2011-06-06T16:44:40.047 回答