WCF自定义授权

最新推荐文章于 2024-10-17 09:38:24 发布
最新推荐文章于 2024-10-17 09:38:24 发布
阅读量56 收藏
点赞数
文章标签: 运维 数据库

      以前写过一篇WCF自定义用户名密码认证,用户必须输入正确的用户名和密码才能调用WCF服务提供的操作契约(OperationContract),但没有限制某个用户可调用契约的范围,即默认每个用户都可调用该服务下的所有契约,WCF自定义授权用来为用户授权特定的操作契约,并在用户调用的时候对用户的授权进行验证,只有通过验证的用户才可调用该契约,这中将权限控制在OperationContract层次对企业级应用来说是必要的。
要实现WCF自定义授权必须先实现自定义用户名密码认证,要不然WCF怎么知道调用者是谁?因上次写的那个自定义用户名密码认证示例实在年代久远了,这次用VS2010重新写了个,并将WCF自定义授权加了进去,示例代码在评论一楼下载,先看下运行效果:


该服务共有三个操作契约(Operation001、Operation002、Operation003),用两个不用的用户(xiaozhuang001、xiaozhuang002)调用,xiaozhuang001具有调用Operation001和Operation003的权限,xiaozhuang002具有调用Operation002和Operation003的权限。
解决方案结构如图


由三个项目组成,MyWcfCustomAuthorization是WCF Service Library,MyWcfCustomAuthorizationServer控制台项目用来为MyWcfCustomAuthorization项目提供宿主,MyWcfCustomAuthorizationClient用来调用WCF服务契约。
MyWcfCustomAuthorization下面的的Security目录下分为四个文件:
1、DataProvider.cs顾名思义数据供应器
2、CustomUserNameValidator.cs实现自定义用户名密码认证功能
3、CustomAuthorizationPolicy.cs为用户授权操作契约
4、CustomServiceAuthorizationManager.cs对用户要调用的操作契约进行权限验证。
CustomAuthorizationPolicy.cs主要代码如下:

ExpandedBlockStart.gif CustomAuthorizationPolicy代码
  public   class  CustomAuthorizationPolicy : IAuthorizationPolicy
    {
         string  id;

         public  CustomAuthorizationPolicy()
        {
            id  =  Guid.NewGuid().ToString();
        }

         public   bool  Evaluate(EvaluationContext evaluationContext,  ref   object  state)
        {
             bool  bRet  =   false ;
            CustomAuthState customstate  =   null ;

             //  If the state is null, then this has not been called before so 
             //  set up a custom state.
             if  (state  ==   null )
            {
                customstate  =   new  CustomAuthState();
                state  =  customstate;
            }
             else
                customstate  =  (CustomAuthState)state;

             //  If claims have not been added yet...
             if  ( ! customstate.ClaimsAdded)
            {
                 //  Create an empty list of claims.
                IList < Claim >  claims  =   new  List < Claim > ();

                 //  Iterate through each of the claim sets in the evaluation context.
                 foreach  (ClaimSet cs  in  evaluationContext.ClaimSets)
                     //  Look for Name claims in the current claimset.
                     foreach  (Claim c  in  cs.FindClaims(ClaimTypes.Name, Rights.PossessProperty))
                    {
                         //  Get the list of operations the given username is allowed to call.
                         foreach  (Right right  in  DataProvider.GetUserRightList(c.Resource.ToString()))
                        {
                            Console.WriteLine( " 正在给用户( "   +  c.Resource  +   " )赋权限: "   +  right.OperationName);
                            claims.Add( new  Claim(DataProvider.ClaimType,right.OperationName, Rights.PossessProperty));
                             // Console.WriteLine("Claim added {0}", s);
                        }
                    }

                 //  Add claims to the evaluation context.
                evaluationContext.AddClaimSet( this new  DefaultClaimSet( this .Issuer, claims));

                 //  Record that claims were added.
                customstate.ClaimsAdded  =   true ;

                 //  Return true, indicating that this method does not need to be called again.
                bRet  =   true ;
            }
             else
            {
                 //  Should never get here, but just in case, return true.
                bRet  =   true ;
            }

             return  bRet;
        }

         public  ClaimSet Issuer
        {
             get  {  return  ClaimSet.System; }
        }

         public   string  Id
        {
             get  {  return  id; }
        }


         //  Internal class for keeping track of state.
         class  CustomAuthState
        {
             bool  bClaimsAdded;

             public  CustomAuthState()
            {
                bClaimsAdded  =   false ;
            }

             public   bool  ClaimsAdded
            {
                 get  {  return  bClaimsAdded; }
                 set  { bClaimsAdded  =  value; }
            }
        }
    }

 

从求值上下(EvaluationContext)文中找到用户名,根据用户名从DataProvider中取得该用户的操作契约集合,转换为权限集合,并将该用户的权限集合加入到求值上下文中,上面的代码大部分都是MSDN上的,但我调试发现:虽然代码中判断了如果已经增加过权限则再不增加的逻辑,但这个似乎没有作用,因为CustomAuthorizationPolicy这个对象的生存期只是在调用操作契约的过程中,所以每次调用契约都要创建实例,所以导致  if (state == null)这句的state永远都是空的,也就是每次调用都要增加一遍权限,这是个大问题,要是在这个类里面读数据库来获取用户权限的话会形成巨大的性能瓶颈,所以大家千万不要这么做。
CustomServiceAuthorizationManager.cs的主要代码如下:

ExpandedBlockStart.gif CustomServiceAuthorizationManager 代码
public   class  CustomServiceAuthorizationManager : ServiceAuthorizationManager
    {
         protected   override   bool  CheckAccessCore(OperationContext operationContext)
        {
             //  Extract the action URI from the OperationContext. Match this against the claims
             //  in the AuthorizationContext.
             string  action  =  operationContext.RequestContext.RequestMessage.Headers.Action;

             //  Iterate through the various claim sets in the AuthorizationContext.
             foreach  (ClaimSet cs  in  operationContext.ServiceSecurityContext.AuthorizationContext.ClaimSets)
            {
                 //  Examine only those claim sets issued by System.
                 if  (cs.Issuer  ==  ClaimSet.System)
                {
                     //  Iterate through claims of type.
                     foreach  (Claim c  in  cs.FindClaims(DataProvider.ClaimType, Rights.PossessProperty))
                    {
                         //  If the Claim resource matches the action URI then return true to allow access.
                        Console.WriteLine( " 正在比较权限: "   +  action  +   " "   +  c.Resource.ToString());
                         if  (action  ==  c.Resource.ToString())
                             return   true ;
                    }
                }
            }

             //  If this point is reached, return false to deny access.
             return   false ;
        }

    }

 

从当前请求上下文中取得用户的操作契约,并和当前用户的权限集合中的操作契约对比,如果有相同的则说明该用户有调用该契约的权限。
配置文件部分

ExpandedBlockStart.gif serviceModel代码
  < system.serviceModel >
         < behaviors >
           < serviceBehaviors >
             < behavior >
               <!--  To avoid disclosing metadata information, set the value below to false and remove the metadata endpoint above before deployment  -->
               < serviceMetadata  httpGetEnabled ="true" />
               <!--  To receive exception details in faults for debugging purposes, set the value below to true.  Set to false before deployment to avoid disclosing exception information  -->
               < serviceDebug  includeExceptionDetailInFaults ="true" />
               < serviceCredentials >
                 < serviceCertificate  findValue ="xiaozhuang-PC"  x509FindType ="FindBySubjectName"  storeLocation ="LocalMachine"  storeName ="My" />
                 < userNameAuthentication  userNamePasswordValidationMode ="Custom"  customUserNamePasswordValidatorType ="MyWcfCustomAuthorization.Security.CustomUserNameValidator,MyWcfCustomAuthorization" />
               </ serviceCredentials >
               < serviceAuthorization  serviceAuthorizationManagerType ="MyWcfCustomAuthorization.Security.CustomServiceAuthorizationManager,MyWcfCustomAuthorization"   >
                 < authorizationPolicies >
                   < add  policyType ="MyWcfCustomAuthorization.Security.CustomAuthorizationPolicy,MyWcfCustomAuthorization" />
                 </ authorizationPolicies >
               </ serviceAuthorization >
             </ behavior >
           </ serviceBehaviors >
         </ behaviors >
       < bindings >
         < wsHttpBinding >
           < binding >
             < security  mode ="Message" >
               < message  clientCredentialType ="UserName" />
             </ security >
           </ binding >
         </ wsHttpBinding >
       </ bindings >
         < services >
             < service  name ="MyWcfCustomAuthorization.TestService" >
                 < endpoint  address =""  binding ="wsHttpBinding"  contract ="MyWcfCustomAuthorization.ITestService" >
                     < identity >
                         < dns  value ="xiaozhuang-PC"   />
                     </ identity >
                 </ endpoint >
                 < endpoint  address ="mex"  binding ="mexHttpBinding"  contract ="IMetadataExchange"   />
                 < host >
                     < baseAddresses >
                         < add  baseAddress ="http://localhost:8000/MyWcfCustomAuthorization/TestService/"   />
                     </ baseAddresses >
                 </ host >
             </ service >
         </ services >
     </ system.serviceModel >

 

采用了WCF4.0中简化的配置方式,在behavior节中增加服务认证部分和授权部分并,指定自定义用户名密码实现的类,自定义授权管理器实现的类和授权策略实现的类,在binding节中指定认证类型为userName。
服务端宿主的代码比较简单,客户端调用部分代码如下:

ExpandedBlockStart.gif Main代码
  static   void  Main( string [] args)
        {
            TestServiceClient client  =   new  TestServiceClient();
            client.ClientCredentials.UserName.UserName  =   " xiaozhuang001 " ;
            client.ClientCredentials.UserName.Password  =   " xiaozhuang001 " ;
             string  returnStr  =   "" ;
             try
            {
                returnStr  =  client.Operation001();
            }
             catch  (Exception ex)
            {
                returnStr  =  ex.Message;
            }
            Console.WriteLine( " 用户xiaozhuang001调用Operation001结果: "   +  returnStr);

             try
            {
                returnStr  =  client.Operation002();
            }
             catch  (Exception ex)
            {
                returnStr  =  ex.Message;
            }
            Console.WriteLine( " 用户xiaozhuang001调用Operation002结果: "   +  returnStr);
             try
            {
                returnStr  =  client.Operation003();
            }
             catch  (Exception ex)
            {
                returnStr  =  ex.Message;
            }
            Console.WriteLine( " 用户xiaozhuang001调用Operation003结果: "   +  returnStr);

             // Console.WriteLine("xiaozhuang002:");
            TestServiceClient client1  =   new  TestServiceClient();
            client1.ClientCredentials.UserName.UserName  =   " xiaozhuang002 " ;
            client1.ClientCredentials.UserName.Password  =   " xiaozhuang002 " ;
             try
            {
                returnStr  =  client1.Operation001();
            }
             catch  (Exception ex)
            {
                returnStr  =  ex.Message;
            }
            Console.WriteLine( " 用户xiaozhuang002调用Operation001结果: "   +  returnStr);

             try
            {
                returnStr  =  client1.Operation002();
            }
             catch  (Exception ex)
            {
                returnStr  =  ex.Message;
            }
            Console.WriteLine( " 用户xiaozhuang002调用Operation002结果: "   +  returnStr);
             try
            {
                returnStr  =  client1.Operation003();
            }
             catch  (Exception ex)
            {
                returnStr  =  ex.Message;
            }
            Console.WriteLine( " 用户xiaozhuang002调用Operation003结果: "   +  returnStr);

            Console.ReadKey();
        }

 

代码很简单,无需说明。
补充:在WCF的用户名密码认证那篇中我用了makecert.exe这个生成测试证书的命令,所以还要对应在客户端写绕过测试证书的代码,这次的不用了,在网上找了个工具SelfSSL (SelfSSL.exe) 可以帮助您生成和安装自签名 SSL 证书。有了这个工具,生成的证书就不会再报是未签名的了;并将这个工具封装成了一个Winform程序,大家运行代码时先要运行该程序安装好证书,并修改对应的配置文件部分才可以,主要是查找证书部分和DNS部分,要是你的电脑也叫xiaozhuang-PC就不用改了。
遗留问题:我用控制台宿主WCF类库,但为啥我在类库中写的Console.Write()啥的都在宿主程序中看不见呢?害得我用附加进程的方式调试,真麻烦,还望知道的朋友指点一下。

weixin_34242658
关注
WCF授权DEMO
12-31
自定义授权策略(Custom Authorization Policy)** 有时,预定义的授权机制可能无法满足所有需求,这时可以创建自定义授权策略。通过实现`IAuthorizationPolicy`接口,你可以创建自己的授权逻辑。这些策略可以在...
WCF 各种例子
11-07
3. **安全性**: 安全性是WCF服务的重要方面,包括身份验证、授权和加密。示例可能涵盖使用证书、用户名/密码或Windows集成安全性的服务。 4. **事务**: WCF支持跨多个操作的事务处理,确保原子性和一致性。你可能会...
[WCF权限控制]WCF自定义授权体系详解[实例篇]
weixin_34221112的博客
07-11 119
在《原理篇》中,我们谈到WCF自定义授权体系具有两个核心的组件:AuthorizationPolicy和ServiceAuthorizationManager,已经它们是如何写作最终提供一种基于声明的授权实现。为了让自定义授权有深刻的理解,我们来进行一个简单实例来演示如何通过自定义这两个组件实现“非角色授权策略”。[源代码从这里下载] 目录: 一、创建演示程序解决方案 ...
Wcf 服务http请求总结
刚哥的博客
09-04 5298
最近有机会接近WCF 服务,但公司要求修改为http请求的时候发现一些问题,自己总结出来 环境使用的是vs2015  添加项目的时候:需要选择wcf应用程序 其次,添加完项目后需要修改方法 第三,需要修改配置文件 &lt;system.serviceModel&gt; &lt;bindings&gt; &lt;webHttpBinding&gt; ...
WCF 自定义授权
weixin_30607029的博客
06-17 79
服务端代码using System; using System.Collections.Generic; using System.Linq; using System.Text; using System.ServiceModel; using System.IdentityModel.Claims; using System.IdentityModel.Policy; using...
[WCF权限控制]WCF自定义授权体系详解[原理篇]
weixin_34123613的博客
10-26 81
到目前为止,我么介绍的授权策略都是围绕着安全主体进行的,基本上都是基于角色的授权。虽然角色是定义权限最为常用的形式,但是它解决不了授权的所有问题。基于角色的授权策略一般是这样的:需要进行访问控制的操作或者资源关联到某个角色上,那么只要访问者被分配了该角色,就被授予了相应的权限。那么假设我们的授权策略是这样的:访问权限和两个角色进行关联,访问者需要同时被...
[WCF权限控制]利用WCF自定义授权模式提供当前Principal[实例篇]
weixin_33725272的博客
10-26 107
在《原理篇》中我们谈到:如果采用自定义安全主体权限模式,我们可以通过自定义AuthorizationPolicy或者ServiceAuthorizationManager实现对基于当前认证用于相关的安全主体的提供,进而达到授权的目的。为了让大家对此有个更加深刻的认识,在这篇文章中我们会提供一个具体的例子。[源代码从这里下载] 目录: 一、...
[WCF权限控制]利用WCF自定义授权模式提供当前Principal[原理篇]
weixin_34418883的博客
10-26 79
在《通过扩展自行实现服务授权》一文中,我通过自定义CallContextInitializer的方式在操作方法之前之前根据认证用户设置了当前线程的安全主体,从而实现授权的目的。实际上,WCF的安全体系本就提供相应的扩展,使你能够自由地实现安全主体的提供方式。具体来说,安全主体的提供可以通过自定AuthorizationPolicy或者ServiceAu...
WCF安全】WCF 自定义授权[用户名+密码+x509证书]
weixin_30383279的博客
12-16 89
1.x509证书制作(略) 2.直接贴代码 ----------------------------------------------------------------------服务端------------------------------------------------------------------------------------------- WCF服务 ...
WCF自定义授权[转自小庄的博客]
weixin_30340617的博客
07-28 102
以前写过一篇WCF自定义用户名密码认证,用户必须输入正确的用户名和密码才能调用WCF服务提供的操作契约(OperationContract),但没有限制某个用户可调用契约的范围,即默认每个用户都可调用该服务下的所有契约,WCF自定义授权用来为用户授权特定的操作契约,并在用户调用的时候对用户的授权进行验证,只有通过验证的用户才可调用该契约,这中将权限控制在OperationContrac...
WCF编程权威指南_wcf_
10-01
WCF提供了多种预定义的绑定,如BasicHttpBinding、NetTcpBinding等,同时也支持自定义绑定,以满足特定的通信需求,如安全性、可靠性和性能优化。 五、协定 协定定义了服务的操作集,包括服务可以执行的操作、操作...
WCF.rar_wcf_wcf 框架
09-22
6. **扩展性**: 通过行为、绑定元素、传输、编码器等扩展点,可以自定义WCF的行为以满足特定需求。 7. **多渠道通信**: 支持多种传输方式,如HTTP、TCP、Named Pipes等,同时允许服务使用多个终结点。 **WCF的应用...
WCF 安全性 四种身份验证方式
10-12
例如,使用HTTPS时,SSL/TLS协议会处理身份验证和数据加密,确保只有授权的客户端可以访问服务。这种方式的优势在于它与底层传输机制紧密集成,但它的应用范围受限于支持安全传输的协议。 3. Message层身份验证 ...
如何减少光伏电站中的重复工作
zheguyun的博客
10-12 270
在关键施工环节,如基础施工、组件安装等,加强质量控制和验收,避免后期因质量问题导致的重复工作。说道施工,建议可以考虑下鹧鸪云光伏软件的施工管理流程,上面比较标准,而且每一步都有固定的流程也不容易出错,极大的可以减少重复的工作。对电站建设和运营过程中出现的问题进行总结和分析,找出问题的根源和解决方案。利用智能化工具进行电站布局和组件排布规划,确保电站布局合理,减少因布局不当导致的重复工作。定期召开项目会议,及时解决施工过程中出现的问题,避免问题累积导致的重复工作。
docker-harbor
最新发布
qq_54598007的博客
10-17 433
(1)基于角色控制:用户和仓库都是基于项目进行组织的,而用户在项目中可以拥有不同的权限。(2)基于镜像的复制策略:镜像可以在多个Harbor实例之间进行复制(同步)。(3)支持 LDAP/AD:Harbor 可以集成企业内部已有的 AD/LDAP(类似数据库的一张表),用于对已经存在的用户认证和管理。(4)镜像删除和垃圾回收:镜像可以被删除,也可以回收镜像占用的空间。(5)图形化用户界面:用户可以通过浏览器来浏览,搜索镜像仓库以及对项目进行管理。
远程连接之MobaXterm安装使用
宇宙第一小趴菜的博客
10-12 347
MobaXterm支持的远程方式非常丰富,基本上一个工具涵盖了日常所需的所有远程需要。输入IP地址后即可开启一个会话,如果需要指定登录用户可以勾选Specify username,输入对应的用户名。如果非默认的22端口,我们在port输入口输入对应的端口号。ssh远程登录服务器后默认开启一个sftp会话窗口,默认路径为登录用户的家目录,我们可以在输入框输入路径进行切换。点击上面的按钮可以上传、下载文件。官网提供便携版和安装版下载,这里我们选择便携版(主要懒得安装),下载后启动即可使用。
Windows server 2019的安装
sdszoe4922的博客
10-15 275
图1-2 在有空间的磁盘上创建一个目录用于指定安装Windows server 2019。图1-8 安装完毕后重启,目前是在安装VMware tools虚拟工具。图1-3 给虚拟机命名/改名,将安装的位置指向之前创建的目录位置。一.安装前的准备:需要镜像—设定网卡—指定一个安装的位置。图1-1用准备好的Windows不同版本服务器镜像。图1-5 VMware虚拟机统计的完整的安装信息。图1-2 在VMware虚拟机中插入光盘镜像。图1-6 开始安装时系统提示选择镜像。图1-7 无人值守安装开始进行。
配置WCF REST服务安全与授权
该文件似乎涉及配置Windows Communication ...这个配置文件是在创建一个允许匿名访问、使用HTTPS进行安全通信且具有自定义授权策略的WCF REST服务。通过这种方式,服务可以安全地暴露其REST API,供外部客户端调用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值