wcf - 在 WCF WIF 管道中处理 REST SWT token 不起作用

Question

我正在努力解决主题行中提到的设置，想知道是否有人可以帮助我。

本质上，我拥有的是 WCF 服务，我希望实现用户可以使用自定义登录页面(使用带有 ACS 所需信息的 JavaScript)对 ACS 进行身份验证。

完成此操作后，用户应该使用提供的 SWT token 重定向到 WCF 服务。我使用 SimpleWebTokenHandler 作为 SWT token 处理的基础，但我不确定它在其中发挥任何作用。

这是我正在运行的 Web.config

<configuration>
    <configSections>
        <section name="system.identityModel" type="System.IdentityModel.Configuration.SystemIdentityModelSection, System.IdentityModel, Version=4.0.0.0, Culture=neutral, PublicKeyToken=B77A5C561934E089" />
        <section name="system.identityModel.services" type="System.IdentityModel.Services.Configuration.SystemIdentityModelServicesSection, System.IdentityModel, Version=4.0.0.0, Culture=neutral" />
    </configSections>
    ...
    <system.serviceModel>
        <diagnostics>
        </diagnostics>
        <services>
            <service name="WcfWifSwtAcs.Service1">
                <endpoint address="xmlService" binding="webHttpBinding" bindingConfiguration="" behaviorConfiguration="restPoxBehaviour" name="xmlServiceEndpoint" contract="WcfWifSwtAcs.IService1" />
            </service>
        </services>
        <behaviors>
            <endpointBehaviors>
                <behavior name="restPoxBehaviour">
                    <webHttp helpEnabled="true" />
                </behavior>
            </endpointBehaviors>
            <serviceBehaviors>
                <behavior>
                    <serviceMetadata httpGetEnabled="true" httpsGetEnabled="true" />
                    <serviceDebug includeExceptionDetailInFaults="true" />
                    <serviceCredentials useIdentityConfiguration="true">
                        ...
                    </serviceCredentials>
                </behavior>
            </serviceBehaviors>
        </behaviors>
        <protocolMapping>
            <add scheme="http" binding="ws2007FederationHttpBinding" />
        </protocolMapping>
        <serviceHostingEnvironment aspNetCompatibilityEnabled="true" multipleSiteBindingsEnabled="true" />
        <bindings>
            <ws2007FederationHttpBinding>
                <binding name="">
                    <security mode="Message">
                        <message 
                            issuedTokenType="http://schemas.xmlsoap.org/ws/2009/11/swt-token-profile-1.0">
                            <issuerMetadata address="https://xxxx.accesscontrol.windows.net/v2/wstrust/13/certificate/mex" />
                        </message>
                    </security>
                </binding>
            </ws2007FederationHttpBinding>
        </bindings>
    </system.serviceModel>
    <system.webServer>
    ...
    </system.webServer>
    <system.identityModel>
        <identityConfiguration>
            <audienceUris>
                <add value="http://localhost:56782/Service1.svc" />
            </audienceUris>
            <issuerNameRegistry type="System.IdentityModel.Tokens.ConfigurationBasedIssuerNameRegistry, System.IdentityModel, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089">
                <trustedIssuers>
                    <add thumbprint="XXX" name="xxx.accesscontrol.windows.net" />
                </trustedIssuers>
            </issuerNameRegistry>
        <issuerTokenResolver type="SimpleWebToken.CustomIssuerTokenResolver, WcfWifSwtAcs" />
            <securityTokenHandlers>
                <clear/>
                <add type="SimpleWebToken.SimpleWebTokenHandler, WcfWifSwtAcs"/>
            </securityTokenHandlers>
        </identityConfiguration>
    </system.identityModel>
</configuration>

现在我可以看到，身份验证发生了，并且浏览器与正文一起重定向到服务。我还可以看到 SimpleWebToken 处理程序已实例化，并且正在请求 token 类型 URI。但这几乎就是所发生的一切。没有实际的 token 处理验证，无论发生什么。

这是发送到服务的 token (解析后)。

wa=wsignin1.0&
wresult=
<t:RequestSecurityTokenResponse 
xmlns:t="http://schemas.xmlsoap.org/ws/2005/02/trust">
<t:Lifetime>
    <wsu:Created 
        xmlns:wsu="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd">2013-02-13T23:14:30.159Z</wsu:Created>
    <wsu:Expires
        xmlns:wsu="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd">2013-02-13T23:24:30.159Z</wsu:Expires>
</t:Lifetime>
<wsp:AppliesTo 
    xmlns:wsp="http://schemas.xmlsoap.org/ws/2004/09/policy">
    <EndpointReference
        xmlns="http://www.w3.org/2005/08/addressing">
        <Address>http://localhost:56782/Service1.svc</Address>
    </EndpointReference>
</wsp:AppliesTo>
<t:RequestedSecurityToken>
    <wsse:BinarySecurityToken 
        wsu:Id="uuid:58e2fb15-dd1a-40bd-8ff0-ae24e22e6efe" 
        ValueType="http://schemas.xmlsoap.org/ws/2009/11/swt-token-profile-1.0"
        EncodingType="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#Base64Binary"
        xmlns:wsu="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd"          xmlns:wsse="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd">
        BASE64 DATA==
    </wsse:BinarySecurityToken>
</t:RequestedSecurityToken>
<t:TokenType>http://schemas.xmlsoap.org/ws/2009/11/swt-token-profile-1.0</t:TokenType>
<t:RequestType>http://schemas.xmlsoap.org/ws/2005/02/trust/Issue</t:RequestType>
<t:KeyType>http://schemas.xmlsoap.org/ws/2005/05/identity/NoProofKey</t:KeyType>
</t:RequestSecurityTokenResponse>

服务本身非常简单，具有以下签名。

[OperationContract]
[WebInvoke(UriTemplate = "/GetData/{id}", RequestFormat = WebMessageFormat.Json, ResponseFormat = WebMessageFormat.Json)]
string GetData(string id);

有什么想法吗？我一直在验证 uri、主机名、指纹等是否均有效。此外，服务跟踪并没有真正显示与 token 处理或 token 验证异常相关的任何内容。

不知怎的，似乎 token 甚至没有传递给处理程序。至少缺少所有声明和其他身份验证信息(空)。

如果有人指出我可以在哪里调试或者我是否遗漏了一些非常明显的东西(也可能总是如此)，我将不胜感激。

附注我知道我可以通过自定义身份验证模块来实现它，无论如何，我宁愿让它与 WIF 一起运行(它变得很重要，因为我在这方面花费了更多时间，因为我真正想要的，而且我非常顽固:p)。

Answer 1

苏，奉献精神会带来解决方案。虽然我最初认为这是不可能做到的，但显然它实际上是可以做到的。我将把解决方案放在这里，因为也许还有其他人发现它有用。

首先，WCF REST 服务正在使用webHttpBinding ，根据 MS 文档，它不支持 Windows Identity Foundation 和管道中的声明处理。事实上确实如此。不在 WCF 管道中，而是作为 Web 身份验证流程中的 IIS 模块。

首先，您需要将以下模块添加到 Web.config 文件中。

<system.webServer>
    <modules runManagedModulesForAllRequests="true">
        <add name="WSFederationAuthenticationModule" type="System.IdentityModel.Services.WSFederationAuthenticationModule, System.IdentityModel.Services, Version=4.0.0.0, Culture=neutral, PublicKeyToken=B77A5C561934E089" preCondition="managedHandler" />
        <add name="SessionAuthenticationModule" type="System.IdentityModel.Services.SessionAuthenticationModule, System.IdentityModel.Services, Version=4.0.0.0, Culture=neutral, PublicKeyToken=B77A5C561934E089" preCondition="managedHandler" />
    </modules>
 </system.webServer>

不过有一个警告。您仍然需要 <configSections>来 self 原来的帖子。问题是您需要在 VisualStudio 中标记 System.IdentyModel*程序集作为 CopyLocal 项(在属性窗口中)。否则，您将得到一些神秘的异常，即无法为配置部分加载程序集。注意!仅当您加载这两个模块时才会发生这种情况，而当这些模块未加载时则不会发生这种情况。没有任何意愿进一步调查那件事，也许有人更清楚那是什么原因。

接下来，如果出于任何原因您打算使用 MS WIF 代码中的 SWT token 处理示例，则有几个错误需要修复，否则 token 解析将不会发生，或者您将得到无效签名 token 验证。

SimpleWebToken.cs 您需要修复 SwtBaseTime，因为它初始化不正确并且随后安全 token 创建失败:

来自 公共(public)静态 DateTime SwtBaseTime = new DateTime( 1970, 1, 1, 0, 0, 0, 0 );//每 SWT 皮秒至

public static DateTime SwtBaseTime = new DateTime( 1970, 1, 1, 0, 0, 0, 0, DateTimeKind.Utc ); // per SWT psec

SimpleWebTokenHandler.cs您需要修复以下值的大小写:

来自

const string BinarySecurityToken = "binarySecurityToken";
const string ValueType = "valueType";

至

const string BinarySecurityToken = "BinarySecurityToken";
const string ValueType = "ValueType";

CustomIssuerTokenResolver.cs 您需要修复创建的 key ，因为它是使用 UTF8 字节初始化的，但它实际上应该使用解码的 Base64 字节初始化:

来自

key = new InMemorySymmetricSecurityKey(UTF8Encoding.UTF8.FromBase64String(base64Key));

至

key = new InMemorySymmetricSecurityKey(System.Convert.FromBase64String(base64Key));

解决完所有这些问题后，一切就都就位了。身份验证器和授权器被调用，瞧，突然您有一个作为 REST 端点公开的 WCF 服务，并且所有声明等也都正常工作。