none
WCF分布式安全开发实践(3):传输安全模式之自定义用户名密码身份验证:Transport_UserNamePassword_WSHttpBinding RRS feed

  • 常规讨论

  • 原文:WCF分布式安全开发实践(3):传输安全模式之自定义用户名密码身份验证:Transport_UserNamePassword_WSHttpBinding 
    今天继续WCF分布式安全开发实践(3):传输安全模式之自定义用户名密码身份验。本文介绍的内容主要是:主要是传输安全模式的UserNamePassword身份验证方式,基于WSHttpBinding绑定协议的实现过程。主要内容:基本概念,然后是制作证书、SSL证书设置、服务端配置、客户端配置、总结。WCF安全模式实现方式之间密切。在这里可见一斑。
         此节内容因为是在WCF分布式安全开发实践(2):传输安全模式之基本身份验证(Windows账户密码):Transport_Basic_WSHttpBinding
    的基础上作出的扩展。 与WCF分布式安全开发实践(10):消息安全模式之自定义用户名密码:Message_UserNamePassword_WSHttpBinding.很相似,我们在传输安全模式下页提供了提供了用户自定义对客户端凭据的验证代码。与消息安全不同的是,这里我们要借助SSL来保证数据交互的安全。首先我们来介绍一下什么是传输安全模式的自定义UserNamePassword。
    【0】传输安全模式之基本身份验证:
           传输安全模式之基本身份验证需要服务器需要一个有效的可用于安全套接字层 (SSL) 的 X.509 证书,并且客户端必须信任此服务器证书。 这里使用https协议。客户端提供有效的UserName和Password。

    1.身份验证(服务器):提供证书,(使用 HTTPS)
    2.身份验证(客户端):提供自定义的用户名
    /密码

       WCF安全模式自定义UserNamePassword身份验证的架构如下:

        
    客户端建立SSL安全套接层以后,会使用商定的密码对消息签名,客户端使用证书加密数据,服务端使用证书解密数据,保证数据的安全和机密性,消息签名放置被篡改。这个链接是唯一的。通信结束以后会关闭连接。
       是制作和设置SSL证书的过程,和传输安全模式的过程一样,这里直接使用相同证书和端口。延续以前的风格。
    【1】制作证书:
    (1)使用makecert 工具:Microsoft Visual Studio 2008-->Visual Studio Tools-->Visual Studio 2008 命令提示行。
    输入:makecert -sr localmachine -ss My -n CN=WCFServerPK -sky exchange -pe -r
    输入:makecert -sr localmachine -ss My -n CN=WCFClientPK -sky exchange -pe -r。
    -这里制作了连个证书,主要只使用一个WCFServerPK,可以到出密钥文件pfx,后续我们要导入到其他存储区,设置为信任的证书。WCFClientPK -是为以后文章准备的,也是可以设置为信任的证书。

     (2) 打开浏览器---->Internet 选项----->内容----->证书----->个人,默认是保存到当前用户CurrentUser,你会看到刚才制作的证书。这个可以查看部分证书,但是功能有限。我们还是使用控制台证书管理工具。

     

     (3)使用MMC建立证书控制单元查看证书的信息:
      开始--运行--MMC--控制台--添加删除单元--证书--当前用户和计算机各添加一个。能查看和管理CurrentUser和LocalMachine的证书。如图:

    (4)导入证书到信任的人和信任的CA机构里。步骤如下:
        1.导出证书文件,带密钥的pfx文件。使用mmc,保存到桌面位置(方便查找)。这里记住你制作证书的密码。要使用。
        2.导入证书到信任的人。使用任务-导入向导--选择证书文件,导入即可。
        3.导入证书到信任的机构,使用任务-导入向导--选择证书文件,导入即可。这个证书就被信任了。
    【2】SSL证书设置:
       下面我们来设置SSL端口证书,这个步骤很重要。不然客户端无法查找到WCF服务。
    【2.1】查询SSL证书设置:
         需要为使用的端口SSL注册证书。Windows Server 2003 或 Windows XP,则使用 HttpCfg.exe 工具。Windows Server 2003 中已安装该工具。下载该工具/Files/frank_xl/HttpcfgFrankXuLei.rar。如果运行的是 Windows Vista,则使用已安装的 Netsh.exe 工具。在Windows\System32目录下。运行此工具需要命令窗口切换到相应工具解压缩目录下,我直接放置到D盘根目录。方便查找。
         (1)在 Windows Server 2003 或 Windows XP 中,通过 queryssl 开关使用 HttpCfg.exe 工具查看当前端口配置,在命令窗口切换到HttpCfg在文件目录,你如下面代码:
            httpcfg query ssl
      
      (2)Vista:
           netsh http show sslcert

        查询SSL端口证书设置信息,如图:

    【2.2】设置SSL证书:

        (1)在 Windows Server 2003 或 Windows XP:
           httpcfg set ssl -i 0.0.0.0:9001-h 9174185b2860b6d5ec3de133d5fcc4e1419b09e5
        (2)Vista:
           netsh http add sslcert ipport=0.0.0.0:9001 certhash=9174185b2860b6d5ec3de133d5fcc4e1419b09e5
      appid={11111111-2222-3333-4444-qqqqqqqqqqqqq} 。最后一个GUID.你可以随便编写一个。使用工具也可以。certhash 参数指定证书的指纹。ipport 参数指定 IP 地址和端口,功能类似于前述 Httpcfg.exe 工具的 -i 开关。appid 参数为可用于标识所属应用程序的 GUID。
     【2.3】删除SSL证书:
        (1)Windows Server 2003 和 Windows XP 中:
        httpcfg delete ssl -i 0.0.0.0:9001-h 9174185b2860b6d5ec3de133d5fcc4e1419b09e5
        (2)Vista:
        Netsh http delete sslcert ipport=0.0.0.0:9001。
    【3】服务端配置:
        SSL端口证书配置完成以后,我们来配置服务端相关的文件,首先要实现自定义身份验证的代码。我们就要对WCF服务端进行配置,直接使用配置文件,这里简单。也可以使用代码来完成。
        (1)服务验证代码:
        证书制作完整以后,就需要来实现自定义用户名和密码的验证程序。这里要重写MyUserNamePasswordValidator类的Validate(string userName, string password)方法。具体代码如下:

    public class MyUserNamePasswordValidator : UserNamePasswordValidator 
        { 
            
    public override void Validate(string userName, string
     password) 
            {
                
    if (userName != "FrankXuLei" || password != "12345678"
    )
                {
                    Console.WriteLine(
    "UserNamePasswordValidatation is failed !:{0}"
    , userName);
                    
    throw new SecurityTokenException("Unknown Username or Password"
    ); 
                }
                
    else

                {
                    Console.WriteLine(
    "UserNamePasswordValidatation is sucessfully !:{0}", userName);
                }
            } 
        } 

       这里假定用户名是FrankXuLei,密码是123456.如果不对就直接抛出异常,验证失败,实际应用我们可以到身份验证数据库查询数据,来判定用户名和密码的有效性。相比其他的验证方式,自定义密码验证方式,显然是最简单方式,传输安全保证了用户名密码的机密性,而验证代码可以灵活地访问我们系统的数据库或者其他文件来判定客户端是否是有效的客户端。可以很好的保护WCF服务。
        (2)服务类定义:
         这里服务类就一个方法就是更具用户的name来打印调用时间,代码如下:

     //1.服务契约
        [ServiceContract(Namespace = "http://www.cnblogs.com/frank_xl/")]
        
    public interface
     IWCFService
        {
            
    //操作契约

            [OperationContract]
            
    string SayHello(string
     name);

        }
        
    //2.服务类,继承接口。实现服务契约定义的操作

        public class WCFService : IWCFService
        {
            
    //实现接口定义的方法

            public string SayHello(string name)
            {
                Console.WriteLine(
    "Hello! {0},Calling at {1} "
    , name,DateTime.Now.ToLongTimeString());
                
    return "Hello! " +
     name;
            }
        }

        (3)传输安全模式配置:
           使用传输安全模式,采用客户端Basic身份验证策略,transport安全模式下的用户自定义UserNamePassword方式要在客户端基本Basic验证类型下实现。配置信息如下:

     

        <bindings>
          
    <wsHttpBinding>
            
    <binding  name="TransportAndUserName"   >
              
    <security mode="Transport">
                
    <transport clientCredentialType ="Basic"/>
                
    <message clientCredentialType="None"/>
              
    </security>
            
    </binding>
          
    </wsHttpBinding>
        
    </bindings>

       这个配置要应用到服务的终结点配置上。才会生效。
        (4)证书使用:
        在服务行为节点属性里配置使用证书WCFServerPK,这个服务器证书就是SSL证书。另外要设置客户端验证方式为自定义。userNamePasswordValidationMode="Custom"。和消息安全模式下的自定义一样,我们要提供自己的自定义类的设置。配置信息如下:

             <serviceMetadata httpsGetEnabled="true" />
              
    <serviceDebug includeExceptionDetailInFaults="false" />
              
    <serviceCredentials>
                  
    <serviceCertificate  storeName="My"  x509FindType="FindBySubjectName" findValue="WCFServerPK" storeLocation="LocalMachine"/>
                
    <clientCertificate >
                  
    <authentication certificateValidationMode="None" />
                
    </clientCertificate>
                
    <userNameAuthentication userNamePasswordValidationMode="Custom"    customUserNamePasswordValidatorType="WCFService.MyUserNamePasswordValidator,WCFService" />
              
    </serviceCredentials>
            
    </behavior>

           (5)IE查看元数据:
          配置好托管宿主以后,我们就可以启动宿主。然后在浏览器里输入元数据终结点。点击浏览会看到如下界面:

       使用的是https协议, 元数据交互也提供了SSL保护。这里可以点击继续浏览,才能看到服务的信息。如下:

        我们可以在这里点击链接,根据借助svcutil来产生客户端文件。我们这里不做尝试,客户端我们直接在项目里添加引用,借助Visual Studio来完成。
    【4】客户端配置:
        这个过程和之前的传输安全模式下,添加服务的过程一样。直接引用。
        (1)引用元数据:
        因为服务的元数据交换节点启用了Https协议,我们在客户端项目添加元数据地址https://computer:9001/mex查找服务信息的时候,会提示SSL证书信息,界面如下:
     
        这个证明我们的服务端证书设置已经起作用,而且是可信的。现在我们点击Yes。继续就会添加完毕服务引用。过程和普通的添加服务元数据引用一样,会产生客户端相关代码文件。输入NameSpace,等待完成即可。  
        (2)配置文件:
        客户端配置文件使用默认设置,主要是安全模式的设置要如下,与服务端匹配。使用Basic方式。这样我们才能提供自定义用户名和密码。

    <security mode="Transport">
                            
    <transport clientCredentialType="Basic" proxyCredentialType="None"
                                realm
    ="" />
                            
    <message clientCredentialType="None" negotiateServiceCredential="false"
                                establishSecurityContext
    ="false" />
                        
    </security>

        (3)测试代码:
        等待代码生成结束,我们这里就直接生成客户端代理类的实例来调用服务进行测试。这里客户端在调用服务以前,必须提供有效的自定义验证里可以通过的UserName和Password.使用ClientCredentials.UserName的相关属性设置。如下:


                    WCFClient.ClientProxy.WCFServiceClient clientProxy 
    = new WCFClient.ClientProxy.WCFServiceClient("WSHttpBinding_IWCFService");
                    
    //通过代理调用SayHello服务
                    string sName = "Frank Xu Lei Transport UserNamePassword WSHttpBinding";
                    
    string sResult = string.Empty;
                    clientProxy.ClientCredentials.UserName.UserName 
    = "FrankXuLei";
                    clientProxy.ClientCredentials.UserName.Password 
    = "12345678";
                    Util.SetCertificatePolicy();
    //强制信任证书。重写验证服务端证书的方法。
                    sResult = clientProxy.Hello(sName);
                    Console.WriteLine(
    "Returned Result is {0}", sResult);

      (4)测试结果:
        启动宿主程序,然后启动客户端程序,稍作等待,用户名密码无效的时候,机会验证失败,客户端不能调用服务。宿主打印的消息,当我们提供了有效的UserName和Password的时候,客户端成功调用服务,如图:

    【5】总结
         Windows Communication Foundation (WCF) 服务和客户端。服务器需要一个有效的可用于安全套接字层 (SSL) 的 X.509 证书,并且客户端必须信任此服务器证书。WCF安全机制都是依赖现有的安全体系和框架来完成的。掌握了规律以后就很容易学习了。
       (1) 此处自是在借助传输安全Basic验证方式,我们提供了自定义UserNamePassword的验证代码。
       (2)此方式与消息安全模式下的自定义UserNamePassword的验证的方式一样,比较灵活。
       (3)给出今天的参考代码,供大家参考:
    /Files/frank_xl/2.4.WCFServiceSecurityDemoFrankXuLei_Transport_UserNamePassword_WSHttpBinding.rar
         大家有问题可以留言讨论~我继续准备这个系列的文章。
         谢谢。
    参考文章:
    0.WCF分布式安全开发实践(10):消息安全模式之自定义用户名密码:Message_UserNamePassword_WSHttpBinding
    1.WCF分布式安全开发实践(2):传输安全模式之基本身份验证(Windows账户密码):Transport_Basic_WSHttpBinding
    2.WCF分布式开发常见错误(21):unable to open its IChannelListener.分发器未能打开侦听器
    3.http://social.microsoft.com/Forums/zh-CN/wcfzhchs/thread/e1aa7bea-90d8-41e6-b91b-7addba44f8e3
    4.WSE3.0构建Web服务安全(2):非对称加密、公钥、密钥、证书、签名的区别和联系以及X.509 证书的获得和管理,具体5.http://msdn.microsoft.com/library/chs/default.asp?url=/library/CHS/cptools/html/cpgrfcertificatecreationtoolmakecertexe.asp
    6.Httpcfg 语法:http://technet.microsoft.com/zh-cn/library/cc781601(WS.10).aspx
    7.安全套接字层(SSL)-安全套接字层(SSL)简介:http://www.hudong.com/wiki/%E5%AE%89%E5%85%A8%E5%A5%97%E6%8E%A5%E5%AD%97%E5%B1%82%28SSL%29#1
    8.WCF分布式安全开发实践(1):传输安全模式之匿名客户端:Transport_None_WSHttpBinding
    9.http://msdn.microsoft.com/en-us/library/ms733775.aspx

     



    Frank Xu Lei--谦卑若愚,好学若饥
    专注于.NET平台下分布式应用系统开发和企业应用系统集成
    Focus on Distributed Applications Development and EAI based on .NET
    欢迎访问老徐的中文技术博客:Welcome to My Chinese Technical Blog
    欢迎访问微软WCF中文技术论坛:Welcome to Microsoft Chinese WCF Forum
    欢迎访问微软WCF英文技术论坛:Welcome to Microsoft English WCF Forum
    2009年8月16日 1:39
    版主