WCF Security之MembershipProvider+RoleProvider方案

对于web应用（包括web站点及web服务）的安全，我们首先想到的和见到的是，让客户提供凭据（最常见的是用户名和密码），然后服务端对客户提供的凭据进行验证，验证通过后，在具体的方法调用或页面请求时，根据验证通过的客户身份进行授权检查，授权通过，则执行客户的请求；反之则拒绝客户的请求。这就是一般验证及授权的思路。
 
如果这样还不能安全要求，那只好再启用传输层加密，即SSL了。实际上在WCF中，验证方式也被分为两个层次：Transport和Message。在传输层加密数据，在消息层提供凭据验证及授权。本文就准备介绍客户端在消息层传入用户凭据，服务端通过MembershipProvider进行验证，通过RoleProvider进行授权，然后辅以传输层加密的方案。
 
这个方案针对于WCF服务，为了便于客户调用，而又加强传输层安全，所以选择了SSL，另外调用WCF服务又需要提供身份验证及授权，尤其针对凭据信息自定义的要求，客户端凭据选择UserName类型。
这个方案的好处是什么呢？TransportWithMessageCredential确保了传输上的安全，并提供了客户端凭据。而对客户端凭据的验证和授权支持自定义方式，所以不管用什么实现rbac，都可以使用这套方案来实现权限控制。另外，在代码中实现权限控制也比较简单，即使用PrincipalPermissionAttribute。
 
还是让我们开始看看demo吧。
首先然我们定义一个ServiceContract：
[ServiceContract]      
public inte易做图ce ITestService  
{  
    [OperationContract]  
    string GetData(int value);  
} 
 
我们给这个ITestService一个简单的实现：
view sourceprint?public class TestService : ITestService  
{  
    public string GetData(int value)  
    {  
        return string.Format("You entered: {0}", value);  
    }  
} 
 
接下来，让我们提供配置信息：
1）Binding配置
view sourceprint?<wsHttpBinding>  
    <binding name="wsHttpBinding1">  
        <security mode="TransportWithMessageCredential">  
            <transport clientCredentialType="None" realm="" />  
            <message clientCredentialType="UserName" />  
        </security>  
    </binding>  
</wsHttpBinding> 
 
2）Service配置
view sourceprint?<service name="TestService.TestService" behaviorConfiguration="securityBehavior">  
    <endpoint address="" 
                  binding="wsHttpBinding" 
                  bindingConfiguration ="wsHttpBinding1" 
                  contract ="TestBase.ITestService" 
                  name ="testService" />  
    <endpoint address="mex" 
                  binding="mexHttpsBinding" 
                  contract="IMetadataExchange" />  
</service> 
 
3）MembershipProvider及RoleProvider配置
view sourceprint?<system.web>  
    <roleManager enabled="true" defaultProvider ="MyProvider">  
        <providers>  
            <add name="MyRoleProvider" type="TestBase.MyRoleProvider,TestBase"/>  
        </providers>  
    </roleManager>  
   
    <membership>  
        <providers>  
            <add name="MyMembershipProvider" type="TestBase.MyMembershipProvider,TestBase"/>  
        </providers>  
    </membership>  
</system.web> 
 
4）Behavior配置
view sourceprint?<serviceBehaviors>  
    <behavior name="securityBehavior">  
        <serviceCredentials>  
            <userNameAuthentication  userNamePasswordValidationMode="MembershipProvider"  membershipProviderName="MyMembershipProvider"/>  
        </serviceCredentials>  
        <serviceAuthorization principalPermissionMode="UseAspNetRoles" roleProviderName="MyRoleProvider" />  
    </behavior>  
</serviceBehaviors> 
好了，需要的类及配置都已准备好了，然后在IIS中，确保目标Web Site中包含https绑定，并且https绑定指向一个证书。在该Web Site中建立一个Application: TestService。浏览vc">https://localhost/TestService/TestService.svc，可以正常浏览。
接下来，实现客户端调用代码：
view sourceprint?try 
{  
    TestServiceReference.TestServiceClient testServiceClient = new TestServiceReference.TestServiceClient ("testService");  
   
    testServiceClient .ClientCredentials.UserName.UserName = "userName";  
    testServiceClient .ClientCredentials.UserName.Password = "password";  
   
    ServicePointManager.ServerCertificateValidationCallback += (sender, certificate, chain, errors) =>  
    {  
        return true;  
    };  
   
    string result = testServiceClient .GetData(3456);  
    Console.WriteLine("result : {0}", result);  
}  
catch (MessageSecurityException ex)  
{  
    //authenticated failed  
    Console.WriteLine(ex.Message);  
}  
catch(SecurityAccessDeniedException ex)  
{  
    //authorized failed  
    Console.WriteLine(ex.Message);  
}  
catch(FaultException ex)  
{  
    Console.WriteLine(ex.Message);  
}  
catch (Exception ex)  
{  
    Console.WriteLine(ex.Message);  
    Console.WriteLine(ex.StackTrace);  
}  
   
Console.ReadLine(); 
运行，服务可以正常访问。但是权限控制还没有加到服务端代码上，在TestService的GetData方法上加上PrincipalPermissionAttribute：
view sourceprint?public class TestService : ITestService  
{  
    [PrincipalPermission(SecurityAction.Demand, Role = "getData")]  
    public string GetData(int value)  
    {  

补充：综合编程 , 其他综合 ,

上一个：深入浅出多线程系列之十：Wait 和Pulse
下一个：深入浅出多线程系列之七：4种定时器