今天继续WCF分布式安全开发实践(8):消息安全模式之用户名身份验证:Message_UserName_WSHttpBinding 。本文介绍的内容主要是:主要是消息安全模式的用户名身份验证方式,基于WSHttpBinding绑定协议的实现过程。主要内容:基本概念,然后是制作证书、服务端配置、客户端配置、总结。这里应该和Transport传输安全模式之Basic基本身份验证对应,但是消息安全模式这里称呼为UserName,感觉比较奇怪。
【0】消息安全模式之UserName客户端身份验证:
消息安全模式之UserName客户端身份验证需要服务器需要一个有效的可用于TLS 加密和向客户端验证服务身份的 X.509 证书,并且客户端必须信任此服务器证书。 这里使用http协议。建议安全上下文以后,使用共享安全上下文对SOAP消息进行加密和签名。但是采用UserName客户端身份验证。也就是客户端提供用户名和密码才可以访问此服务。
1.身份验证(服务器):提供证书,(使用 HTTP)用于初始会话协商和证明服务身份。
2.身份验证(客户端):客户端使用用户名和密码进行身份验证
WCF消息安全模式之UserName客户端身份验证的架构如下:
客户端建立TLS安全上下文以后,会使用商定的密码对消息签名,客户端使用证书加密数据,服务端使用证书解密数据,保证数据的安全和机密性,消息签名放置被篡改。 这里客户端提供的是有效的用户名和密码,服务器端进行验证。 下面是制作证书的过程,和传输安全模式的过程一样,这里直接使用相同证书制作工具,新启用端口8001。【1】制作证书:(1)使用makecert 工具:Microsoft Visual Studio 2008-->Visual Studio Tools-->Visual Studio 2008 命令提示行。输入:makecert -sr localmachine -ss My -n CN=WCFServerPK -sky exchange -pe -r
输入:
makecert -sr localmachine -ss My -n CN=WCFClientPK -sky exchange -pe -r。
-这里制作了连个证书,主要只使用一个WCFServerPK,可以到出密钥文件pfx,后续我们要导入到其他存储区,设置为信任的证书。WCFClientPK -是为以后文章准备的,也是可以设置为信任的证书。 (2) 打开浏览器---->Internet 选项----->内容----->证书----->个人,默认是保存到当前用户CurrentUser,你会看到刚才制作的证书。这个可以查看部分证书,但是功能有限。我们还是使用控制台证书管理工具。
(3)使用MMC建立证书控制单元查看证书的信息:
开始--运行--MMC--控制台--添加删除单元--证书--当前用户和计算机各添加一个。能查看和管理CurrentUser和LocalMachine的证书。如图:
(4)导入证书到信任的人和信任的CA机构里。步骤如下: 1.导出证书文件,带密钥的pfx文件。使用mmc,保存到桌面位置(方便查找)。这里记住你制作证书的密码。要使用。 2.导入证书到信任的人。使用任务-导入向导--选择证书文件,导入即可。 3.导入证书到信任的机构,使用任务-导入向导--选择证书文件,导入即可。这个证书就被信任了。【3】服务端配置:
服务器证书配置完成以后,我们来配置服务端相关的文件,这里简单。也可以使用代码来完成。 (1)服务类定义: 重复使用以前定义的服务类代码。 这里服务类就一个方法就是更具用户的name来打印调用时间,代码如下:
//1.服务契约
[ServiceContract(Namespace = "http://www.cnblogs.com/frank_xl/")]
public interface IWCFService
{
//操作契约
[OperationContract]
string SayHello(string name);
}
//2.服务类,继承接口。实现服务契约定义的操作
public class WCFService : IWCFService
{
//实现接口定义的方法
public string SayHello(string name)
{
Console.WriteLine("Hello! {0},Calling at {1} 
", name,DateTime.Now.ToLongTimeString());
return "Hello! " + name;
}
}
(2)消息安全模式配置:
使用消息安全模式,采用客户端UserName身份验证策略,Message安全模式下的用户名密码验证方式配置信息如下:
<wsHttpBinding>
<binding name="BindingConfigration">
<security mode="Message">
<transport clientCredentialType="None"/>
<message clientCredentialType="UserName" negotiateServiceCredential="true" establishSecurityContext="true"/>
</security>
</binding>
</wsHttpBinding>
behaviors>
<serviceBehaviors>
<behavior name="WCFService.WCFServiceBehavior">
<serviceMetadata httpGetEnabled="true" />
<serviceDebug includeExceptionDetailInFaults="false" />
<serviceCredentials>
<serviceCertificate storeName="My" x509FindType="FindBySubjectName" findValue="WCFServerPK" storeLocation="LocalMachine"/>
</serviceCredentials>
</behavior>
</serviceBehaviors>
</behaviors>
<bindings>
这里指定了服务端证书的查找位置和查找条件,我们证书存储在LocalMachine 个人区域。使用标题进行查找。如果相同标题,需要制定唯一的查找条件。保证查找证书的唯一性。否则会出异常。
(4)这里我们不需要使用Https传输协议,直接使用http协议即可,服务终结点的配置信息如下:
<services>
<service behaviorConfiguration="WCFService.WCFServiceBehavior" name="WCFService.WCFService" >
<endpoint
address="WCFService"
binding="wsHttpBinding"
bindingConfiguration="BindingConfigration"
contract="WCFService.IWCFService">
</endpoint>
<endpoint address="mex" binding="mexHttpBinding" contract="IMetadataExchange" />
<host>
<baseAddresses>
<add baseAddress="http://localhost:8001/"/>
</baseAddresses>
</host>
</service>
</services>
继续就会添加完毕服务引用。过程和普通的添加服务元数据引用一样,会产生客户端相关代码文件。输入命名空间,现在我们点击Ok。等待完成即可。 (2)配置文件: 客户端配置文件使用默认设置,主要是安全模式的设置要如下,与服务端匹配。使用None方式。
<security mode="Message">
<transport clientCredentialType="Windows" proxyCredentialType="None"
realm="" />
<message clientCredentialType="UserName" negotiateServiceCredential="true"
algorithmSuite="Default" establishSecurityContext="true" />
</security>
(3)测试代码:
等待代码生成结束,我们这里就直接生成客户端代理类的实例来调用服务进行测试。这里客户端在调用服务以前,必须信任证书,这里我们使用了一段通用的代码,来建立TLS使用。这里会信任服务器的证书。代码如下:
public static class Util
{
/// <summary>
/// Sets the cert policy.
/// </summary>
public static void SetCertificatePolicy()
{
ServicePointManager.ServerCertificateValidationCallback
+= RemoteCertificateValidate;
}
/// <summary>
/// Remotes the certificate validate.
/// </summary>
private static bool RemoteCertificateValidate(
object sender, X509Certificate cert,
X509Chain chain, SslPolicyErrors error)
{
// trust any certificate!!!
System.Console.WriteLine("Warning, trust any certificate");
return true;
}
}
客户端测试代码很简单,要提供Windows账号和密码。就是通过客户端代理来调用WCF服务。代码如下:
class WCFClientTest
{
static void Main(string[] args)
{
try
{
//HTTP WSHttpBinding_IWCFService1
WCFClient.ClientProxy.WCFServiceClient wcfServiceProxy = new WCFClient.ClientProxy.WCFServiceClient("WSHttpBinding_IWCFService");
//通过代理调用SayHello服务
string sName = "Frank Xu Lei Message UserName WSHttpBinding";
string sResult = string.Empty;
wcfServiceProxy.ClientCredentials.UserName.UserName = "FrankXuLei";
wcfServiceProxy.ClientCredentials.UserName.Password = "00000000";
Util.SetCertificatePolicy();
sResult = wcfServiceProxy.SayHello(sName);
Console.WriteLine("Returned Result is {0}", sResult);
}
catch (Exception e)
{
Console.WriteLine("Exception : {0}", e.Message);
}
//For Debug
Console.WriteLine("Press any key to exit");
Console.Read();
}
}
(4)测试结果:
启动宿主程序,然后启动客户端程序,稍作等待,当我们提供了有效的UserName和Password的时候,客户端成功调用服务,宿主打印的消息。如图:
【5】总结 Windows Communication Foundation (WCF) 服务和客户端。WCF安全机制都是依赖现有的安全体系和框架来完成的。 (1)服务器需要一个证明服务器身份和有效的可用于TLS传输层安全的 X.509 证书,并且客户端必须信任此服务器证书。 (2)客户端提交证书的方式与传输安全之证书验证方式一样,服务器端需要提供证书,但是不需要httpcfg.exe设置。 (3)初始协商需要服务器证书来建立TLS连接,协商完毕以后,建立共享安全上下文,这里使用商定的加密算法对SOAP消息进行加密和签名。 (4)如果你启用协商,而不把服务器证书在客户端设置信任,导入信任的办法机构,会出现SOAP安全协商失败的异常。 (5)这里客户端调用WCF服务以前要提供提供了有效的UserName和Password,和Transport安全模式的Basic方式类似。(其它差别信息我会继续补充) (6)参考代码:
本文转自 frankxulei 51CTO博客,原文链接:http://blog.51cto.com/frankxulei/320367,如需转载请自行联系原作者
