WCF Membership Provider

  ASP.NET 是自.NET 1.x 就已经有的技术，利用IIS+ASP.NET 搭建的网站已经有很多。针对IIS+ASP.NET 的网站模型也有很多案例，通过现在的搜索服务我们可以很轻易的获取这些内容。

  大家可能很熟悉如何使用窗体认证，Windows认证，用户名/密码， SQL Server 等认证技术/服务来实现IIS + ASP.NET 站点的认证，而现在我们要讨论的是如何使用ASP.NET 来对WCF 服务进行验证。

  现在，我们直接进入主题...

  我们要讨论的模型简化的说就是WCF + 证书 + 消息认证 + Membership Provider, 具体说来就是WCF服务使用证书对通信过程加密，然后服务端对消息解密并通过Membership Provider 对解密的消息(用户名/密码)进行验证。

请看如下截图:

 图片1-1 WCF 消息认证 + SqlMembership Provider 认证

 

 接下来我们就如何构建WCF 消息认证 + SqlMembership Provider 认证给出一个具体的实施步骤。 

 

 第一步: 创建WCF IIS 服务

 创建一个新的网站->选择 WCFService->将其命名为 service

 

 第二步: 配置Solution.

 

图片1-2 Solution 配置

[ServiceContract]
 public interface IService
{
  [OperationContract]
  string GetData(int value);
  [OperationContract]
  CompositeType GetDataUsingDataContract(CompositeType composite);
 // TODO: Add your service operations here
 }
[AspNetCompatibilityRequirements(RequirementsMode = AspNetCompatibilityRequirementsMode.Required)]
 public class myService : IService
{
  public string GetData(int value)
  {
    return string.Format("You entered: {0}", value);
  }
}

第三步: 创建Form 认证数据库(Membership Provider 使用表单认证模式)

  转到C:\WINDOWS\Microsoft.NET\Framework\<versionNumber>\aspnet_regsql.exe，双击运行aspnet_regsql.exe，

  按步骤保留默认配置即可。

  如果有不清楚的部分请参考http://msdn.microsoft.com/en-us/library/x28wfk74.aspx

  

 第四步: 创建证书

 我们借助Windows 自带的Makecert.exe 证书生成工具生成证书。

 打开命令行窗口，输入:

 makecert -r -pe -n "CN=www.yourserver.com" -b 01/01/2000 -e 01/01/2036 -eku 1.3.6.1.5.5.7.3.1

              -ss my -sr localMachine -sky exchange -sp "Microsoft RSA SChannel Cryptographic Provider"

              -sy 12

 可以参考http://www.inventec.ch/chdh/notes/14.htm 

   

 第五步: 配置IIS Host 服务 web.config 文件

 首先是连接字符串部分:   

<connectionStrings>
<clear />
<add name="LocalSqlServer" connectionString="Data Source=DANIELFACTORY2;
           Initial Catalog=aspnetdb;Integrated Security=True" />
</connectionStrings>

注意要将连接字符串中对应的值更改，使其匹配个人环境配置，aspnetdb 为第三步生成的默认数据库。

  

第六步: 在IIS Host 服务web.config 文件中创建Membership Provider

<membership defaultProvider="membership">
  <providers>
    <add name="membership" type="System.Web.Security.SqlMembershipProvider, 
               System.Web, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a" 
               connectionStringName="LocalSqlServer" enablePasswordRetrieval="false" 
               enablePasswordReset="true" requiresQuestionAndAnswer="true" applicationName="/" 
               requiresUniqueEmail="false" passwordFormat="Hashed" maxInvalidPasswordAttempts="5" 
               minRequiredPasswordLength="7" minRequiredNonalphanumericCharacters="1" 
               passwordAttemptWindow="10" passwordStrengthRegularExpression="" />
  </providers>
</membership>
<authentication mode="Forms" />

也可以使用自定义SqlMembershipProvider,注意connectionStringName与第五步中创建的名字要匹配。

 

 第七步: 为IIS Host 服务配置完成的web.config 文件

     配置完成后要检查以下几项配置:

  1)消息认证类型(Message credential type) == UserName

  2)服务协商凭据(negotiate Service credential) == false

  3)服务证书

  4)UserNameAuthentication->UserNamepasswordvalidatormode=MembershipProvider 

      && MembershipProviderName == membership.

      在我的例子中 membership provider 的名字是membership.

  5) 检查证书指纹

      http://msdn.microsoft.com/en-us/library/ms734695.aspx.

  6) 打开IIS Site Manager,为我们的IIS Host 服务新建一个站点。

     

    图片1-3 创建IIS Site

   7) 为我们的IIS Host Site 设定认证模式

      

 

   

   图片1-4 设置IIS Site 认证模式

  

   8) 确定服务已经成功启动

 

 第八步: 创建一个新的控制台应用程序作为客户端

 

 第九步: 利用添加服务引用功能为客户端添加服务引用

 

 图片1-5 生成客户端代理

 

 第十步: 客户端代码         

至此，你可以运行一下服务端和客户端，初步看一下结果，但是很不幸，你会得到下面的错误:

 

  图片1-6 客户端运行错误信息

 

  说实话，产生这个错误的原因非常多，但从字面意思看是由于没有建立安全连接导致的。实际上微软为了防止攻击者知道太多具体的错误信息,大多对类似的错误信息进行了包装。

  这个错误的真正原因可能是用户名/密码不正确，也可能是配置错误，但是如果直接报出用户名不正确/密码错误的异常信息，那么对攻击者来说岂不是太方便了？!   

  但是我们如何才能知道底层错误到底是由什么引起的呢？

  其实，这个问题才是我们真正应该学习和了解掌握的，我们之前在服务端配置了诊断信息，所以现在我们可以到相关log 文件中找一下错误原因:

图片1-7 WCF Membership Provider 具体验证错误信息

 

  这个错误说明我们在客户端提供的用户名/密码验证失败。

  那么我们现在需要想一下，到目前为止，除了在客户端设置密码以外，我们未曾在任何地方设置用户名/密码，那么问题可能是由于我们还未设置认证信息导致的，也就是说我们还没有建立信息认证中心(这个称呼着实有些大，很吓人)。

  回到之前，我们通过aspnet_regsql.exe 生成aspnetdb 的过程，打开这个数据库我们就可以知道用户名/密码是存在这里面的，但是如何将用户信息加入这个表内呢？ 你是不是想通过SQL 语句？ 哈哈，我一开始也是这么想的！

  但是，不要忘了，我们现在还不了解这个数据库中各个表项的关联关系，这么加只会导致牛毛越来越多，那么如何解决问题呢？很遗憾，不要想着通过Google, Baidu 来搜索答案，这个问题在网上没有任何有价值的信息，关键时刻还得靠我们自己！！！

现在，我们还是回到Visual Studio,执行如下操作:

图片1-8 ASP.NET Configuration 配置

 

单击图片框中的图标，我们将得到以下界面

图片1-9 ASP.NET Site 配置界面

 

依次转到Security->Users->Create User->创建用户

图片1-10 创建新用户

 

 图片1-11 用户创建成功

 

接下来，好好享受你的WCF 之旅吧 :)