希望有人能帮忙!
我正在使用 JSON 调用 WCF 服务,但无法获取用户凭据。
我们正在使用 Kerberos,因此 IIS 设置如下:
服务器端任务:
- IIS 服务器是域的成员
- 将 AD 用户和计算机 MMC 中的 IIS 服务器计算机帐户设置为“受信任的委派”
- 必须重新启动 IIS 服务器才能使此策略生效。
- 必须为站点/虚拟目录选择仅集成 Windows 身份验证
- IIS 不能仅将 NTLM 设置为身份验证方法(这通常不是问题,NEGOTIATE 是默认设置,因此除非您专门运行脚本来更改它,否则不要担心)。
- IIS 服务器名称必须与 AD 中的帐户名称完全匹配,或者在将 IIS 站点设置为备用名称的情况下(例如服务器称为 server01.domain.com,网站称为 www.application.com),应使用 SetSPN 工具。
客户端任务
- 客户端必须使用 IE 5.x+。如果客户端运行的是 IE 6,请确保从工具 > Internet 选项 > 高级中选择“启用集成 Windows 身份验证(需要重新启动)”。
- 网站必须被识别为客户端的本地 Intranet(不是 Internet 区域)站点。我没有看到任何解释原因的文档,但我只是无法让它正常工作。如有必要,请专门将此添加到本地 Intranet 站点列表。
- 客户帐户不得在 AD 用户和计算机 MMC 中标记为“敏感,请勿委托”。
使用 wsHTTPBinding 时一切正常。但是要让 JSON 工作,我必须使用 WebHttpBinding。然后我需要获取用户凭据,以便我可以使用模拟与后端服务交谈。
我在 WFC 配置中的绑定如下:我使用http://underground.infovark.com/2008/03/21/wcf-webhttp-binding-and-authentication/ 来帮助:
<webHttpBinding>
<binding name="AjaxBinding">
<security mode="None">
<transport clientCredentialType="Ntlm" />
</security>
</binding>
</webHttpBinding>
<endpoint name="DataJson" address="Datajson" binding="webHttpBinding"
bindingConfiguration="AjaxBinding"
behaviorConfiguration="jsonbehaviour" contract="MyContract"/>
<behavior name="jsonbehaviour">
<!--<webHttp/>-->
<enableWebScript/>
</behavior>
它正在成功调用 WCF 服务,但我无法从以下位置获取任何信息:HttpContext.Current.User.Identity或ServiceSecurityContext.Current.WindowsIdentity除了匿名之外,因此我无法执行以下操作:
WindowsIdentity identity = (WindowsIdentity)HttpContext.Current.User.Identity();
using (identity.Impersonate())
{
// ... code to call application B goes here ...
}
我已经尝试将其添加到 web.config 中,以防我阅读到多个身份:
<deny users="?"/>
有什么想法吗?