概述
今天在做Master Data Service(後面簡稱MDS)項目時需要通過WCF來使用MDS的API,從而對MDS的數據進行操作。在這個過程中,遇到了一個棘手的問題,就是在客戶端調用Web Service時的身份認證問題,於是乎對WCF的認證方式做了一個簡單的瞭解。在這裏還要感謝蔡總陪我加班一起解決問題,在蔡總的大力支持下問題得以解決。我們解決問題的方式採用了客戶端用戶名+密碼的方式來進行身份認證,這只是諸多WCF認證方式當中的一種。
用戶名+密碼認證的三種模式
基於用戶名/密碼的用戶憑證通過類型UserNamePasswordClientCredential表示。而在ClientCredentials中,只讀屬性UserName表示這樣一個用戶憑證。可以按照Windows憑證的方式爲ChannelFactory<TChannel>或者ClientBase<TChannel>基於用戶名/密碼憑證。
public class ClientCredentials
{
//其他成員
public UserNamePasswordClientCredential UserName { get; }
}
public sealed class UserNamePasswordClientCredential
{
//其他成員
public string Password {get; set; }
public string UserName { get; set; }
}
用戶名/密碼憑證在客戶端的設置很容易,但是我們關心的是服務端採用怎樣的機制來驗證這個憑證。WCF提供瞭如下三種方式來驗證憑證中用戶名是否和密碼相符:
- Windows:將用戶名和密碼映射爲Windows帳號和密碼,採用Windows認證;
- MembershipProvider:利用配置的MembershipProvider驗證用戶名和密碼;
- 自定義:通過繼承抽象類UsernamePasswordValidator,自定義用戶名/密碼驗證器進行驗證。
WCF通過枚舉UserNamePasswordValidationMode定了上述三種用戶名/密碼認證模式。該枚舉定義如下,其中Windows是默認選項。
public enum UserNamePasswordValidationMode
{
Windows,
MembershipProvider,
Custom
}
上述三種認證模式的設置最終通過之前提到過的ServiceCredentials這一服務行爲進行設置的。從下面的定義我們可以看出,ServiceCredentials定義了只讀屬性UserNameAuthentication用於基於用戶名/密碼認證的相關設置。屬性的類型爲UserNamePasswordServiceCredential,定義其中的UserNamePasswordValidationMode屬性表示採用的認證模式。如果選擇了需要通過屬性MembershipProvider設置採用的MembershipProvider。如果選擇了Custom,則需要通過CustomUserNamePasswordValidator屬性指定你自定義的UserNamePasswordValidator對象。
public class ServiceCredentials: SecurityCredentialsManager, IServiceBehavior
{
//其他成員
public UserNamePasswordServiceCredential UserNameAuthentication { get; }
}
public sealed class UserNamePasswordServiceCredential
{
//其他成員
public UserNamePasswordValidator CustomUserNamePasswordValidator { get; set; }
public MembershipProvider MembershipProvider { get; set; }
public UserNamePasswordValidationMode UserNamePasswordValidationMode { get; set;
}
通過MembershipProvider進行用戶名+密碼的認證
Membership是ASP.NET中一個重要的模塊,旨在進行基於用戶名/密碼的認證和對應的帳號管理。Membership採用策略設計模式,所有的API通過幾個靜態Membership類暴露出來,而相應的功能實現在具體的Membership提供者中。所有的提供者繼承自同一個抽象類MembershipProvider。ASP.NET提供了兩種類型的提供者:SqlMembershipProvider和ActiveDirectoryMembershipProvider。前者將用戶存儲於SQL
Server數據庫中,而後者則直接建立在AD之上,本實例採用SqlMembershipProvider,在前面一個實例演示中,我們創建了以計算服務爲場景的解決方案,現在我們直接沿用它。
首要的任務是在用於存儲帳戶信息的SQL Server數據庫,爲此可以先在本地SQL Server創建一個空的數據庫(假設起名爲AspNetDb)。接着需要在該數據庫中創建SqlMembershipProvider所需的數據表和相應的存儲過程。這些數據庫對象的創建,需要藉助aspnet_regsql.exe這個工具。你只需要以命令行的方式執行如下aspnet_regsql.exe(無需任何參數),相應的嚮導就會出現。
在嚮導彈出的前兩個窗體中保持默認設置,直接點擊“下一步”後,會出現一個數據庫選擇窗體。此時你需要選擇我們剛剛創建的數據庫,點擊“確認”後,相關的數據庫對象會爲你創建出來。
這些創建出來的數據表可以同時服務於多個應用,所有每一個表中都具有一個名稱爲ApplicationId的字段來明確該條記錄對應的應用。而所有應用記錄維護在aspnet_Applications這麼一個表中。現在需要通過執行下面一段SQL腳本在該表中添加一條表示應用的記錄。將其命名爲MembershipAuthenticationDemo。
INSERT INTO [aspnet_Applications]
([ApplicationName]
,[LoweredApplicationName]
,[ApplicationId]
,[Description])
VALUES
(
'MembershipAuthenticationDemo'
,'membershipauthenticationdemo'
,NEWID()
,''
)
現在數據庫方面已經準備就緒,接着來完成編程和配置方面的工作。不打算從新創建一個解決方案,而是直接對之前演示的實例進行改造。我們採用自我寄宿的方式,由於Membership隸屬於ASP.NET,所以需要添加System.Web.dll的引用,如果採用的是.NET Frameowrk 4.0(本例所示的配置也是基於該版本),則還需額外添加對System.Web.ApplicationServices.dll的引用。接下來,需要在服務寄宿方面所做的工作就是將下面一段配置整個拷貝到app.config中。
<?xml version="1.0"?>
<configuration>
<connectionStrings>
<add name="AspNetDb" connectionString="Server=.; Database=AspNetDb; Uid=sa; Pwd=password"/>
</connectionStrings>
<system.web>
<membership defaultProvider="myProvider">
<providers>
<add name="myProvider" type="System.Web.Security.SqlMembershipProvider, System.Web, Version=4.0.0.0, Culture=neutral,
PublicKeyToken=b03f5f7f11d50a3a" connectionStringName="AspNetDb" applicationName="MembershipAuthenticationDemo"
requiresQuestionAndAnswer="false"/>
</providers>
</membership>
</system.web>
<system.serviceModel>
<bindings>
<ws2007HttpBinding>
<binding name="userNameCredentialBinding">
<security mode="Message">
<message clientCredentialType="UserName"/>
</security>
</binding>
</ws2007HttpBinding>
</bindings>
<services>
<service name="Artech.WcfServices.Services.CalculatorService" behaviorConfiguration="membershipAuthentication">
<endpoint address="http://127.0.0.1/calculatorservice" binding="ws2007HttpBinding"
bindingConfiguration="userNameCredentialBinding" contract="Artech.WcfServices.Contracts.ICalculator"/>
</service>
</services>
<behaviors>
<serviceBehaviors>
<behavior name="membershipAuthentication">
<serviceCredentials>
<serviceCertificate storeLocation="LocalMachine" storeName ="My" x509FindType="FindBySubjectName" findValue="YueXu-PC"/>
<userNameAuthentication userNamePasswordValidationMode="MembershipProvider" membershipProviderName="myProvider"/>
</serviceCredentials>
</behavior>
</serviceBehaviors>
</behaviors>
</system.serviceModel>
</configuration>
至此,在我們創建的數據庫中並沒有用戶帳戶記錄。爲了演示認證效果,我們需要創建相關用戶帳戶記錄。爲了方便,我直接將相關的代碼寫在了服務寄宿的代碼中。如下面的代碼片斷所示,在對服務進行寄宿之前,我通過調用Membership的靜態方法CreateUser創建了一個用戶名、密碼和Email分別爲xuyue、password01和xuyue1000@hotmail的帳號。
if (Membership.FindUsersByName("xuyue").Count == 0)
{
Membership.CreateUser("xuyue", "password01", "[email protected]");
}
using (ServiceHost host = new ServiceHost(typeof(CalculatorService)))
{
host.Open();
Console.Read();
}
接下來我們需要對客戶端的配置進行相應的調整,整個配置內容如下面的XML片斷所示。對於這段配置有一點需要注意的是:終結點應用了一個名稱爲peerTrustSvcCertValidation的行爲,該行爲中將服務證書認證模式設置成PeerTrust,所以你需要通過MMC證書管理單元的導出/導入功能將YueXu-PC證書導入到“受信任人(Trusted People)”存儲區。
<?xml version="1.0"?>
<configuration>
<system.serviceModel>
<bindings>
<ws2007HttpBinding>
<binding name="userNameCredentialBinding">
<security mode="Message">
<message clientCredentialType="UserName"/>
</security>
</binding>
</ws2007HttpBinding>
</bindings>
<client>
<endpoint name="calculatorService" behaviorConfiguration="peerTrustSvcCertValidation"
address=http://127.0.0.1/calculatorservice binding="ws2007HttpBinding"
bindingConfiguration="userNameCredentialBinding" contract="Artech.WcfServices.Contracts.ICalculator">
<identity>
<certificateReference storeLocation="LocalMachine" storeName ="My" x509FindType="FindBySubjectName" findValue="YueXu-PC"/>
</identity>
</endpoint>
</client>
<behaviors>
<endpointBehaviors>
<behavior name="peerTrustSvcCertValidation">
<clientCredentials>
<serviceCertificate>
<authentication certificateValidationMode="PeerTrust"/>
</serviceCertificate>
</clientCredentials>
</behavior>
</endpointBehaviors>
</behaviors>
</system.serviceModel>
</configuration>
最後,我們來編寫如下一段客戶端進行服務調用的程序。在下面的代碼中,我進行了兩次服務調用。但是創建服務代理對象的ChannelFactory<ICalculator>被設置了不同的用戶名憑證。其中第一個是正確的用戶名和密碼,後一個卻指定了一個根本不存在的用戶名。
using (ChannelFactory<ICalculator> channelFactory = new ChannelFactory<ICalculator>("calculatorService"))
{
UserNamePasswordClientCredential credential = channelFactory.Credentials.UserName;
credential.UserName = "xuyue";
credential.Password = "password01";
ICalculator calculator = channelFactory.CreateChannel();
calculator.Add(1, 2);
Console.WriteLine("服務調用成功...");
}
using (ChannelFactory<ICalculator> channelFactory = new ChannelFactory<ICalculator>("calculatorService"))
{
UserNamePasswordClientCredential credential = channelFactory.Credentials.UserName;
credential.UserName = "wrongName";
credential.Password = "wrongPWD";
ICalculator calculator = channelFactory.CreateChannel();
try
{
calculator.Add(1, 2);
}
catch
{
Console.WriteLine("服務調用失敗...");
}
}
輸出結果:
1: 服務調用成功...
2: 服務調用失敗...