WCF身份验证之一:使用证书进行验证

        WCF服务是个讨人喜欢的东西, 但是每个网络中的人都可以任意使用服务, 这就是个问题了, 这一组文章简单列举几种身份验证的方法. 本篇文章讨论的是证书验证.

        使用X509证书进行身份验证应该说是WCF安全模型中最”正常”的做法, 因为WCF强制要求使用证书加密身份数据, 离开了证书, 所有的身份验证机制拒绝工作, WCF支持的身份验证机制也相当复杂, 这里仅为了让程序按照我们的期望动起来, 所以并不展开讨论其它的验证方法, 有了一种做法做为基础, 也很容易查到其它的实现方法.

1. 本文所使用的软件环境:
        windows 7
        Visual studio 2010

2. 用vs创建一个"WCF Service Library” 项目, 此时生成一个默认的IService1接口, 一个默认的GetData函数. 在当前解决方案中再增加一个Windows Forms Application项目, 作为服务的测试客户端, 直接在client中添加服务引用, 然后discover一下, Service1就显示出来了, 直接确定.

3. 现在开始写代码, 在client的form上放一个按钮, 在此按钮的点击事件中写上对服务的调用:

 var proxy = new ServiceReference1.Service1Client();
 MessageBox.Show(proxy.GetData(0));

把client项目设为起始项目, F5运行, 点击按钮:

4. 测试完成, 我们的基础环境没有任何问题. 现在开始考虑身份验证的问题, 首先, 我们采用用户名/密码的模式进行验证, 这就需要有一个验证用户名密码的地方: 在服务项目中添加引用System.IdentityModel, 然后向服务添加一个类, 这里将此类命名为Validator, 这个类的实现如下:

    class Validator : System.IdentityModel.Selectors.UserNamePasswordValidator
    {
        public override void Validate(string userName, string password)
        {
            if (userName != "u" || password != "p")
                throw new UnauthorizedAccessException();
        }
    }

然后右击服务项目的app.config, 选择Edit WCF Configuration.

5. 为默认的EndPoint创建一个binding configuration.

       

在左侧列表中选中顶级节点services, 右侧就会列出当前的endpoint, 如图所示, 默认有两个, 其中下面那个是元数据的endpoint, 我们不去管它, 上面那个endpoint的binding configuration后面有一个”click to create” 的link, 点击, 自动创建一个binding config, 创建完成以后, 切换到security标签:

将MessageClientCredentialType改为UserName, 如上图所示.

6. 为Service创建一个behavior

如下图所示:

在左侧panel的Advanced/Service behaviors下面默认有一个Empty name的节点, 先给它起个名字, 这里我是在服务的全名后面加了个Behavior后缀, 然后点击add按钮, 增加一个serviceCredential节点. 然后配置这个新增加的service credential:

在左侧列表中选中serviceCredential下面的serviceCertificate, 对其具体的值做如上配置:

(1) FindValue改为MyTestCert, 这是我们测试证书的名字, 一会儿我们会制作一个这个名字的证书, 导入电脑中.

(2) StoreName改为TrustedPeople

(3) X509FindType改为FindBySubjectName.

7. 使用我们刚才创建的Validator类

选中serviceCredential节点, 配置一下我们的自定义验证类:

其中CustomUserNamePasswordValidatoryType属性的值是:"WcfServiceLibrary3.Validator,WcfServiceLibrary3”, 前一个WcfServiceLibrary3是命名空间名, 后一个是程序集名, 不可省略. 然后将UserNamePasswordValidationMode设成Custom. 

8. 将创建的behavior与服务进行关联.

在左侧面板中选中我们创建的服务Service1, 右侧将刚刚配置好的Service1Behavior与之进行关联, 这样整个服务端的配置就完成了.

保存以后, 完成的app.config如下所示:

<?xml version="1.0" encoding="utf-8" ?>
<configuration>

  <system.web>
    <compilation debug="true" />
  </system.web>
  <!-- When deploying the service library project, the content of the config file must be added to the host's 
  app.config file. System.Configuration does not support config files for libraries. -->
  <system.serviceModel>
    <bindings>
      <wsHttpBinding>
        <binding name="NewBinding0">
          <security>
            <message clientCredentialType="UserName" />
          </security>
        </binding>
      </wsHttpBinding>
    </bindings>
    <services>
      <service behaviorConfiguration="WcfServiceLibrary3.Service1Behavior"
        name="WcfServiceLibrary3.Service1">
        <endpoint address="" binding="wsHttpBinding" bindingConfiguration="NewBinding0"
          contract="WcfServiceLibrary3.IService1">
          <identity>
            <dns value="localhost" />
          </identity>
        </endpoint>
        <endpoint address="mex" binding="mexHttpBinding" contract="IMetadataExchange" />
        <host>
          <baseAddresses>
            <add baseAddress="http://localhost:8732/Design_Time_Addresses/WcfServiceLibrary3/Service1/" />
          </baseAddresses>
        </host>
      </service>
    </services>
    <behaviors>
      <serviceBehaviors>
        <behavior name="WcfServiceLibrary3.Service1Behavior">
          <serviceMetadata httpGetEnabled="true" />
          <serviceDebug includeExceptionDetailInFaults="false" />
          <serviceCredentials>
            <serviceCertificate findValue="MyTestCert" storeName="TrustedPeople"
              x509FindType="FindBySubjectName" />
            <userNameAuthentication userNamePasswordValidationMode="Custom"
              customUserNamePasswordValidatorType="WcfServiceLibrary3.Validator,WcfServiceLibrary3" />
          </serviceCredentials>
        </behavior>
      </serviceBehaviors>
    </behaviors>
  </system.serviceModel>

</configuration>

9. 创建证书并导入. 

在开始菜单—>Microsoft Visual Studio2010—>Visual Studio Tools下面, 点击Visual Studio Command Prompt, 打开命令行窗口, 输入以下命令:

makecert -r -pe -n "CN=MyTestCert" -ss TrustedPeople -sr LocalMachine  -sky exchange

10. 现在F5重新运行, 再次点击按钮1时, 抛出如下异常:

现在我们已经可以确定, 客户端再妄想匿名使用服务是不可能了, 接下来配置客户端的使用凭证.

接下来右击客户端的app.config, 继续选Edit WCF Configuration.

11, 创建endpoint behavior

在Advanced/endpoint behavior下面新建一个endpoint behavior:

然后点击Add, 新增一个clientCredential节点.

展开它的serviceCertificate节点, 选中defaultCertificate, 编辑它的属性如下图:

这几项的值和服务器端的设置是一致的.

12. 将此behavior绑定到endpoint

13. 指定dns

切换到identity标签, 将dns属性指定为我们的证书名:

至此, 客户端的配置也全部结束. 最终客户端的app.config代码为:

<?xml version="1.0" encoding="utf-8" ?>
<configuration>
  <system.serviceModel>
    <behaviors>
      <endpointBehaviors>
        <behavior name="NewBehavior0">
          <clientCredentials>
            <serviceCertificate>
              <defaultCertificate findValue="MyTestCert" storeLocation="LocalMachine"
                storeName="TrustedPeople" x509FindType="FindBySubjectName" />
            </serviceCertificate>
          </clientCredentials>
        </behavior>
      </endpointBehaviors>
    </behaviors>
    <bindings>
      <wsHttpBinding>
        <binding name="WSHttpBinding_IService1" closeTimeout="00:01:00"
            openTimeout="00:01:00" receiveTimeout="00:10:00" sendTimeout="00:01:00"
            bypassProxyOnLocal="false" transactionFlow="false" hostNameComparisonMode="StrongWildcard"
            maxBufferPoolSize="524288" maxReceivedMessageSize="65536"
            messageEncoding="Text" textEncoding="utf-8" useDefaultWebProxy="true"
            allowCookies="false">
          <readerQuotas maxDepth="32" maxStringContentLength="8192" maxArrayLength="16384"
              maxBytesPerRead="4096" maxNameTableCharCount="16384" />
          <reliableSession ordered="true" inactivityTimeout="00:10:00"
              enabled="false" />
          <security mode="Message">
            <message clientCredentialType="UserName" negotiateServiceCredential="true"
                algorithmSuite="Default" />
          </security>
        </binding>
      </wsHttpBinding>
    </bindings>
    <client>
      <endpoint address="http://localhost:8732/Design_Time_Addresses/WcfServiceLibrary3/Service1/"
        behaviorConfiguration="NewBehavior0" binding="wsHttpBinding"
        bindingConfiguration="WSHttpBinding_IService1" contract="ServiceReference1.IService1"
        name="WSHttpBinding_IService1">
        <identity>
          <dns value="MyTestCert" />
        </identity>
      </endpoint>
    </client>
  </system.serviceModel>
</configuration>

14, 指定用户名和密码.

把客户端的按钮点击代码改为:

        private void button1_Click(object sender, EventArgs e)
        {
            var ser = new ServiceReference1.Service1Client();
            ser.ClientCredentials.UserName.UserName = "u";
            ser.ClientCredentials.UserName.Password = "p";
            MessageBox.Show(ser.GetData(0));
        }

F5运行, 可以看到返回正确的结果, 而如果用户名和密码不正确, 则会抛出异常: