记录一下我实现WCF用户认证与权限控制的实现方法, 也让其他网友少走一些弯路. 内容写得非常小白(因为我也是小白嘛), 比较详细, 方便WCF知识基础薄的朋友
主要分为下面几个步骤
- 作为例子, 创建最简单的WCF服务
- 生成X.509证书, 并导入到服务端和客户端
- 为服务提供帐号密码验证程序, 并配置App.config
- 生成客户端并配置其App.config
这里要解释一下为什么要用X509证书: 因为我们需要X509证书这种非对称密钥技术来实现WCF在Message传递过程中的加密和解密,要不然用户名和密码就得在网络上明文传递!详细说明就是客户端把用户名和密码用公钥加密后传递给服务器端,服务器端再用自己的私钥来解密,然后传递给相应的验证程序来实现身份验证
0. 开发环境
Win7 64bit
VS2010 或者更高
.Net Framework 4
1. 新建服务端
创建一个最基本的WCF服务, 我这里命名为 WCF_UserPassword, 接下来我们将直接使用里面的GetData方法
直接按F5, 你就可以使用WCF测试服务端, 看到服务已经可以使用了
2. 生成X.509证书, 并导入到服务端和客户端
生成X509证书需要用到makecert.exe, 只要安装了Visual Studio, 就可以在C盘找到, 为了操作方便, 将它拷贝到 D:\Cert\; 安装证书需要用到CertMgr.exe, 所以也拷贝进来吧, 这两个exe都有32位版本和64位版本, 请拷贝与自己系统一致的版本; 最后还要用到pvk2pfx.exe, 这个只有32位版本(VS2013 又有64位版本)
2.1. 服务端和客户端 在同一台电脑上的情况
在服务端生成X.509证书
打开CMD, 切换到D:\Cert\, 运行下面这个命令
makecert.exe -sr LocalMachine -ss My -a sha1 -n CN=MyServerCert -sky exchange -pe
这个命令的意思就是创建一个测试的X509证书,这个证书放在存储位置为"Localmachine"(本地计算机)的"My"(个人)这个证书文件夹下,证书主题名字叫"MyServerCert"
你可以通过mmc查看是否安装成功, 运行mmc --> 文件-->添加/删除管理单元-->可用的管理单元 下面选择 证书 -->选择计算机账户 --> 选择本地计算机--> 完成
2.2. 将服务器证书公匙安装到客户端的 受信任人的存储区中
certmgr.exe -add -r LocalMachine -s My -c -n MyServerCert -r LocalMachine -s TrustedPeople
因为客户端系统不隐式信任 Makecert.exe 生成的证书,所以需要执行此步骤。如果您已经拥有一个证书,该证书来源于客户端的受信任根证书(例如由 Microsoft 颁发的证书),则不需要执行使用服务器证书填充客户端证书存储区这一步骤。
2.3. 服务端和客户端 在不同电脑上 的情况(这个例子里没有用到这节内容)
生成密匙
makecert -r -pe -sky exchange -n "CN=MyServerCert" MyServerCertPublicKey.cer -sv MyServerCertPrivateKey.pvk pvk2pfx.exe -pvk MyServerCertPrivateKey.pvk -spc MyServerCertPublicKey.cer -pfx MyServerCertExchange.pfx
你将得到
MyServerCertExchange.pfx //密匙交换文件 MyServerCertPrivateKey.pvk //私匙 MyServerCertPublicKey.cer //公匙
在服务端: 将MyServerCertExchange.pfx导入到 本地计算机证书 -->个人--> 证书
CMD: certmgr.exe -add -c MyServerCertExchange.pfx -r LocalMachine -s my
在客户端: 将MyServerCertPublicKey.cer 导入到 本地计算机证书 --> 受信任人-->证书
CMD: certmgr.exe -add -c MyServerCertPublicKey.cer -r LocalMachine -s TrustedPeople
3. 添加验证程序
添加一个 继承自System.IdentityModel.Selectors.UserNamePasswordValidator 的MyCustomValidator 类, 重写里面的Validate方法来实现用户名密码认证逻辑
using System.IdentityModel.Selectors;
using System.IdentityModel.Tokens;
using System.ServiceModel;
namespace WCF_UserPassword
{
public class MyCustomValidator : UserNamePasswordValidator
{
public override void Validate(string userName, string password)
{
//这里仅简单演示一下, 实际工作中应该是使用 数据库查询
if (userName == "admin" && password == "admin") return;
if (userName == "admin2" && password == "admin2") return;
throw new FaultException("用户名或者密码错误!");
//throw new SecurityTokenException("用户名或者密码错误!"); //这种异常, 客户端将不能得到 错误信息
}
}
}
这需要添加引用 System.IdentityModel.dll
4. 配置服务端App.config, 主要包括以下内容
- 将basicHttpBinding 修改为wsHttpBinding
- 创建一个新wsHttpBinding的配置
- 服务行为中添加一个serviceCredentials
4.1. 将basicHttpBinding 修改为wsHttpBinding
4.2. 创建一个新wsHttpBinding的配置, 命名为wsHttpBindingToUserPassword
这个的设置改动只有一个, 切换至 安全性Tab, 把MessageClientCredentialType 从 Windows 改为 UserName
在配置文件App.config 中显示的是
<binding name="wsHttpBindingToUserPassword">
<security>
<message clientCredentialType="UserName" />
</security>
</binding>
4.3. 服务行为中添加一个serviceCredentials(最核心的设置)
高级-->服务行为-->右键 空名称, 选择: 添加服务行为元素扩展
添加serviceCredentials
命名为 ServiceBehaviorToUserPassword
双击serviceCredentials进入编辑
将userNamePasswordValidationMode 改为 Custom, 将customUserNamePasswordValidatorType填入"WCF_UserPassword.MyCustomValidator,WCF_UserPassword"
展开serviceCredentials就可以看到serviceCertificate, 将FindValue填入MyServerCert, 将X509FindType从FindBySubjectDistinguishedName改为FindBySubjectName
默认情况下, 客户端需要使用信任链对证书进行验证, 但由于导入到客户端的证书是我们自己创建的, 不具有可验证的信任链, 所以需要继续修改clientCertificate, CertificateValidationMode改为PeerTrust(只有证书在TrustedPeople 就完全信任), 将FindValue填入MyServerCert, StoreLocation改为LocalMachine, StoreName改为TrustedPeople, 将X509FindType从FindBySubjectDistinguishedName改为FindBySubjectName
4.4. 将以上添加的节点配置到服务中去
ServiceBehaviorToUserPassword 配置到 服务的behaviorConfiguration
将wsHttpBindingToUserPassword配置到终结点的bindingConfiguration
4.5. 将终结点的Dns从默认的localhost改为MyServerCert
5. 现在你可以运行服务端了, 调用GetData方法将弹出 "指定用户名" 的错误, 这表示我们服务端的配置起效了
6. 重新打开一个Visual Studio, 新建一个Console控制台程序, 命名为WCF_Client
运行服务端, 以方便客户端获取服务信息, 服务地址一般都很长, 还是直接复制服务地址吧
控制台程序的引用上添加服务引用
就直接使用默认的命名ServiceReference1吧
让我们看看客户端代码
static void Main(string[] args)
{
var proxy = new ServiceReference1.Service1Client();
proxy.ClientCredentials.UserName.UserName = "admin";
proxy.ClientCredentials.UserName.Password = "admin";
try
{
Console.WriteLine(proxy.GetData(2));
}
catch (Exception e)
{
Console.WriteLine(e.Message);
}
}
运行结果
源代码 WCF_Course账户密码认证.rar, 运行程序, 至少需要你完整完成第二步 "生成X.509证书, 并导入到服务端和客户端"
