logo
搜索
我的图书馆

发文章

发文工具

其他工具

留言交流
搜索
分享

WCF简单教程(9) 安全 - 自定义认证

 昵称10504424 2013-03-14

第九篇:WCF安全 - 自定义认证

接着上一篇,我们尝试一下用自定义用户名密码的方式来做安全认证,这样就不用受制于Windows的用户系统了。

首先需要说明的是,使用自定义用户名密码时,由于不能利用Windows用户系统的相关安全机制了,因此必须自己准备数字证书来处理数据加密。

1、准备数字证书

证书要求有可进行密钥交换的私钥,一般用makcert比较方便,自带的,也可以用OpenSSL或OpenSSL.Net一类的。本例中生成一个自签名的根证书,放入系统的受信根证书颁发机构区:

  1. makecert -n "CN=192.168.90.81" -b 01/01/2012 -e 01/01/2050 -r -sky exchange -sr LocalMachine -ss Root -a sha1 
  2.  
  3. 参数含义: 
  4.   -n 指定使用者为192.168.90.81,注意它必须和调用时指定的域名一致 
  5.   -b 起始日期为2012-1-1 
  6.   -e 失效日期为2050-1-1 
  7.   -r 自签名 
  8.   -sky exchange 指定是密钥交换型而不是签名型 
  9.   -sr LocalMachine 存入本地计算机 
  10.   -ss Root 存入受信任根证书颁发机构区 
  11.   -a sha1 使用SHA1签名 


2、服务端 

服务端要修改几处,首先是配置文件App.config:

  1. <?xml version="1.0" encoding="utf-8" ?> 
  2. <configuration> 
  3.   <system.serviceModel> 
  4.     <services> 
  5.       <!--在上一篇的基础上加了behaviorConfiguration,内容见后--> 
  6.       <service name="Server.DataProvider" behaviorConfiguration="tcpBehavior"> 
  7.         <endpoint address="" binding="netTcpBinding" contract="Server.IData" bindingConfiguration="tcpBinding" /> 
  8.         <host> 
  9.           <baseAddresses> 
  10.             <add baseAddress="net.tcp://localhost:8081/wcf" /> 
  11.           </baseAddresses> 
  12.         </host> 
  13.       </service> 
  14.     </services> 
  15.  
  16.     <bindings> 
  17.       <netTcpBinding> 
  18.         <binding name="tcpBinding"> 
  19.           <security mode="Message"> 
  20.             <!--与上一篇相比,认证类型从Windows改成了UserName--> 
  21.             <message clientCredentialType="UserName" /> 
  22.           </security> 
  23.         </binding> 
  24.       </netTcpBinding> 
  25.     </bindings> 
  26.  
  27.     <!--这是新加的节,用于指定用户名密码的验证方式--> 
  28.     <behaviors> 
  29.       <serviceBehaviors> 
  30.         <!--注意这个name是被前面使用的--> 
  31.         <behavior name="tcpBehavior"> 
  32.           <serviceCredentials> 
  33.             <!--指定验证方式为Custom,表示自定义,既然是自定义的,就要指出用哪个类进行用户名密码验证,这里指定了Server程序集中的Server.Validator类,注意这里类完整名称的写法-->
  34.             <userNameAuthentication userNamePasswordValidationMode="Custom" customUserNamePasswordValidatorType="Server.Validator, Server" /> 
  35.             <!--指定用于数据加密的证书,LocalMachine表示本地计算机,Root表示受信任根证书颁发机构,192.168.90.81是证书标题(因为做证书时没指定标题,所以使用者默认就是标题),FindBySubjectName表示按标题查找-->
  36.             <serviceCertificate storeLocation="LocalMachine" storeName="Root" findValue="192.168.90.81" x509FindType="FindBySubjectName" /> 
  37.           </serviceCredentials> 
  38.         </behavior> 
  39.       </serviceBehaviors> 
  40.     </behaviors> 
  41.   </system.serviceModel> 
  42. </configuration> 

接下来是自定义的验证类,增加一个Validator类,它要继承System.IdentityModel.Selector.UserNamePasswordValidator基类。

  1. using System; 
  2. using System.IdentityModel.Selectors; 
  3. using System.ServiceModel; 
  4.  
  5. namespace Server 
  7.     public class Validator : UserNamePasswordValidator 
  8.     { 
  9.         //重写Validate方法,这里简化处理,直接写死用户名密码,实际应用中应结合DB、配置文件等来做验证 
  10.         public override void Validate(string userName, string password) 
  11.         { 
  12.             if(!string.Equals(userName, "root") || !string.Equals(password, "pass")) 
  13.                 throw new Exception("Access Denied"); 
  14.         } 
  15.     } 

最后我们还要小改一下契约接口的实现类,因为之前我们用WindowIdentity来识别登录用户,换用自定义用户名密码后,它不管用了,所以新的实现类是这样的:

  1. using System; 
  2. using System.ServiceModel; 
  3.  
  4. namespace Server 
  6.     [ServiceBehavior] 
  7.     public class DataProvider : IData 
  8.     { 
  9.         public string SayHello() 
  10.         { 
  11.             //变化不大,用PrimaryIdentity来代替WindowIdentity 
  12.             return string.Format("Hello {0}", OperationContext.Current.ServiceSecurityContext.PrimaryIdentity.Name); 
  13.         } 
  14.     } 

OK,运行一下,应该能正常启动,如果失败,仔细看一下提示信息,一般都是证书问题。


3、客户端

变化不大,先来看配置文件App.config:

  1. <?xml version="1.0" encoding="utf-8" ?>  
  2. <configuration>  
  3.   <system.serviceModel>  
  4.     <client>  
  5.        <endpoint binding="netTcpBinding" contract="Server.IData" address="net.tcp://192.168.90.81:8081/wcf" name="DataProvider" bindingConfiguration="tcp" />  
  6.     </client>  
  7.  
  8.     <bindings>  
  9.       <netTcpBinding>  
  10.         <binding name="tcp">  
  11.           <security mode="Message">  
  12.             <!--只有此处把Windows改成了UserName,和服务端对应--> 
  13.             <message clientCredentialType="UserName" />  
  14.           </security>  
  15.         </binding>  
  16.       </netTcpBinding>  
  17.     </bindings>  
  18.   </system.serviceModel>  
  19. </configuration>  

然后是调用时用户名密码的传递方式变了一点:

  1. using System;  
  2. using System.ServiceModel;  
  3. using System.ServiceModel.Channels;  
  4.   
  5. namespace Client  
  6. {  
  7.     class Program  
  8.     {  
  9.         static void Main(string[] args)  
  10.         {  
  11.             //创建一个ChannelFactory,指定使用名为DataProvider的配置  
  12.             var factory = new ChannelFactory<Server.IData>("DataProvider");  
  13.   
  14.             //指定用户名、密码,和前一篇的区别是把Windows换成了UserName 
  15.             factory.Credentials.UserName.UserName = "root"
  16.             factory.Credentials.UserName.Password = "pass"
  17.   
  18.             //创建Channel,并调用SayHello方法  
  19.             var proxy = factory.CreateChannel();  
  20.             Console.WriteLine(proxy.SayHello());  
  21.             ((IChannel)proxy).Close();  
  22.         }  
  23.     }  
  24. }  


一切就绪,运行一下吧,应该能看到“Hello root”。如果用户名密码错误,会收到Exception。

如果服务端启动失败,请检查:

   ◇ 证书是否有可交换的密钥
   ◇ 证书是否正确导入了系统
   ◇ 按服务端App.config中指定的证书查找方式是否可找到证书
   ◇ 指定的自定义验证类名称是否错误

如果客户端访问失败,请检查: 

   ◇ 是否提供了正确的用户名密码
   ◇ 服务端证书有效期是否合法
   ◇ 服务端证书的证书链是否完整
   ◇ 客户端访问时使用的域名/IP是否与服务端证书的使用者一致

OK,安全问题就讲到这里吧,既然是简单教程,就不继续深入了。

================================================================

 

如果你有一个真正的X509证书,那么现在的代码就可以正常运行了。但是很不幸,我们的证书是测试用的,我们运行的时候出错:'X.509 certificate CN=MyServerCert 链生成失败。所使用的证书具有无法验证的信任链。请替换该证书或更改 certificateValidationMode。已处理证书链,但是在不受信任提供程序信任的根证书中终止',WCF无法验证测试证书的信任链,那我们要做的就是绕过这个信任验证,具体做法如下:

先要在Asp.net Web应用程序项目上添加引用'System.IdentityModel'然后我们建立一个新的类文件并继承自'System.IdentityModel.Selectors.X509CertificateValidator',然后我们重写里面的'Validate'方法来实现我们自己的X509认证逻辑,代码如下:

using System;

using System.Configuration;

using System.IdentityModel.Selectors;

using System.IdentityModel.Tokens;

using System.Security.Cryptography.X509Certificates;

 

 

namespace ClientWeb.CustomX509Validator

{

    /// <summary>

    /// Implements the validator for X509 certificates.

    /// </summary>

    public class MyX509Validator: X509CertificateValidator

    {

        /// <summary>

        /// Validates a certificate.

        /// </summary>

        /// <param name="certificate">The certificate the validate.</param>

        public override void Validate(X509Certificate2 certificate)

        {

            // validate argument

            if (certificate == null)

                throw new ArgumentNullException("X509认证证书为空!");

 

            // check if the name of the certifcate matches

            if (certificate.SubjectName.Name != ConfigurationManager.AppSettings["CertName"])

                throw new SecurityTokenValidationException("Certificated was not issued by thrusted issuer");

        }

    }

}

你可以把Validate方法里面留空让所有的认证都通过,也可以自己定义认证逻辑,如果认证失败,就抛出'SecurityTokenValidationException'的异常,然后我们配置一下客户端的webconfig让它使用我们自己的X509认证,增加以下的配置节,并在'endpoint'节中指定behaviorConfiguration="myClientBehavior"。

<behaviors>

            <endpointBehaviors>

                <behavior name="myClientBehavior">

                    <clientCredentials>

                        <serviceCertificate>

                            <authentication certificateValidationMode="Custom" customCertificateValidatorType="ClientWeb.CustomX509Validator.MyX509Validator,ClientWeb" />

                        </serviceCertificate>

                    </clientCredentials>

                </behavior>

            </endpointBehaviors>

        </behaviors>

 

OK,客户端代码和配置完成,现在你可以运行自己的程序了,运行界面如下:如果需要源代码在这里下载.

 

 

    本站是提供个人知识管理的网络存储空间,所有内容均由用户发布,不代表本站观点。请注意甄别内容中的联系方式、诱导购买等信息,谨防诈骗。如发现有害或侵权内容,请点击一键举报。
    转藏 分享 献花(0

    来自: 昵称10504424 > 《工作》

    举报/认领

    0条评论

    发表

    请遵守用户 评论公约

    类似文章 更多