wcf - 每个端点的不同服务行为-6ren

wcf - 每个端点的不同服务行为

转载作者：行者123 更新时间：2023-12-04 12:55:35

24

4

情况

我们正在对某些 WCF 服务实现不同类型的安全性。
ClientCertificate、用户名和密码以及匿名。

我们有 2 个 ServiceBehaviorConfiguration，一个用于 httpBinding，一个用于 wsHttpBinding。
(我们有基于声明的安全性的自定义授权策略)
作为要求，我们需要为每个服务提供不同的端点。
3 个带有 httpBinding 的端点和 1 个带有 wsHttpBinding 的端点。

一项服务的示例:

basicHttpBinding : 匿名

basicHttpBinding : 用户名和密码

basicHttpBinding : BasicSsl

wsHttpBinding : BasicSsl

注意:我们正在开发 .NET 3.5

问题

第 1 部分:我们不能两次指定同一个服务，一次使用 http 服务配置，一次使用 wsHttp 服务配置。

第 2 部分:我们无法在端点上指定服务行为。 (抛出和异常，未找到端点行为......服务行为不能设置为端点行为)

配置

第 1 部分:

<services>
  <service name="Namespace.MyService" behaviorConfiguration="securityBehavior">
   <endpoint address="http://server:94/MyService.svc/Anonymous" contract="Namespace.IMyService" binding="basicHttpBinding" bindingConfiguration="Anonymous">
    </endpoint> 
    <endpoint address="http://server:94/MyService.svc/UserNameAndPassword" contract="Namespace.IMyService" binding="basicHttpBinding" bindingConfiguration="UserNameAndPassword">
    </endpoint>
    <endpoint address="https://server/MyService.svc/BasicSsl" contract="Namespace.IMyService" binding="basicHttpBinding" bindingConfiguration="BasicSecured">
    </endpoint>
  </service>
  <service name="Namespace.MyService" behaviorConfiguration="wsHttpCertificateBehavior">
    <endpoint address="https://server/MyService.svc/ClientCert" contract="Namespace.IMyService" binding="wsHttpBinding" bindingConfiguration="ClientCert"/>
  </service>
</services>

服务行为配置:

<serviceBehaviors>
<behavior name="securityBehavior">
  <serviceAuthorization serviceAuthorizationManagerType="Namespace.AdamAuthorizationManager,Assembly">
    <authorizationPolicies>
      <add policyType="Namespace.AdamAuthorizationManager,Assembly" />
    </authorizationPolicies>
  </serviceAuthorization>
</behavior>
<behavior name="wsHttpCertificateBehavior">
  <serviceMetadata httpGetEnabled="false" httpsGetEnabled="true"/>
  <serviceAuthorization serviceAuthorizationManagerType="Namespace.AdamAuthorizationManager,Assembly">
    <authorizationPolicies>
      <add policyType="Namespace.AdamAuthorizationManager,Assembly" />
    </authorizationPolicies>
  </serviceAuthorization>
  <serviceCredentials>
    <clientCertificate>
      <authentication certificateValidationMode="PeerOrChainTrust" revocationMode="NoCheck"/>
    </clientCertificate>
    <serviceCertificate findValue="CN=CertSubject"/>
  </serviceCredentials>
</behavior>

我们如何在 WsHttpBinding 端点上指定不同的服务行为？
或者我们如何以不同的方式将我们的授权策略应用于 wsHttpBinding 和 basicHttpBinding。我们将使用端点行为，但我们不能在端点行为上指定我们的授权策略

最佳答案

授权是服务级别的责任。您不能通过端点来改变它。

在高层次上，您应该:

定义端点绑定(bind)以使用您需要的不同安全配置(您已经这样做了)

创建自定义ClaimsAuthenticationManager根据不同绑定(bind)将呈现的不同身份分配声明。

从概念上讲，ClaimsAuthenticationManager 充当“服务中的 STS”，根据不同的凭据添加声明。从那里您可以在您的服务中进行基于声明的授权。

我不知道有任何可配置的授权管理器确实需要你想要的，所以你必须自己编写(如果你证明我错了，请发布你发现的内容)。

实现 ClaimsAuthenticationManager 需要 Windows Identity Framework .下面是我使用的 .NET 4.0 实现的摘要(这在 4.5 中可能更容易)。我很抱歉代码没有编译并且不完整，但我没有时间为公开帖子擦洗所有内容。不过，这应该为您指明正确的方向。

继承自 Microsoft.IdentityModel.Claims.ClaimsAuthenticationManager并实现 Authenticate()。它应该看起来像这样:

namespace MyWCF.ClaimsInjection
{
    public class ClaimsAuthenticationManager : Microsoft.IdentityModel.Claims.ClaimsAuthenticationManager
    {
        public override IClaimsPrincipal Authenticate(string resourceName, IClaimsPrincipal incomingPrincipal)
        {
            if (incomingPrincipal == null)
            {
                throw new ArgumentNullException("incomingPrincipal", "ClaimInjectionClaimsAuthenticationManager requires a principal.");
            }

            IClaimsPrincipal resultPrincipal = base.Authenticate(resourceName, incomingPrincipal);
            foreach (IIdentity identity in resultPrincipal.Identities)
            {
                if (identity is ClaimsIdentity)
                {
                    // Add claims based on client cert here…
                    Claim identityClaim = ((ClaimsIdentity)identity).Claims.First(c => c.ClaimType == ClaimTypes.Thumbprint);
                    ((ClaimsIdentity)identity).Claims.Add(new Claim("MyType", "Myvalue"));
                }
                else if (identity is WindowsClaimsIdentity)
                {
                    // Add claims based on window group or account here…
                }

                // continue checking different identity types...
            }
            return resultPrincipal;
        }
    }
}

现在只需安装自定义管理器(仅包括有趣的部分):

<configuration>
  <configSections>
    <section name="microsoft.identityModel" type="Microsoft.IdentityModel.Configuration.MicrosoftIdentityModelSection, Microsoft.IdentityModel, Version=3.5.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35" />
  </configSections>

  <system.serviceModel>
    <behaviors>
      <serviceBehaviors>
        <behavior name="serviceBehavior">
          <federatedServiceHostConfiguration />
        </behavior>
      </serviceBehaviors>
    </behaviors>

    <extensions>
      <behaviorExtensions>
        <add name="federatedServiceHostConfiguration" type="Microsoft.IdentityModel.Configuration.ConfigureServiceHostBehaviorExtensionElement, Microsoft.IdentityModel, Version=3.5.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35" />
      </behaviorExtensions>
    </extensions>
  </system.serviceModel>

  <microsoft.identityModel>
    <service>
      <claimsAuthenticationManager type="MyWCF.ClaimsAuthenticationManager, MyWCF"/>
    </service>
  </microsoft.identityModel>
</configuration>

关于wcf - 每个端点的不同服务行为，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/12294665/

24

4

0

文章推荐： asp.net - 数据绑定(bind)列表框和设置 css 类

文章推荐： binary - 如何将自枚举 pangram 表示为 bool 函数？

文章推荐： wpf - wpf 中的 Mipmapping

java - Spring boot 2 - Actuator 端点，where is/beans 端点
在 spring boot 2 应用程序中，我正在尝试访问执行器端点/beans，就像我之前在 Spring boot 1.5.* 应用程序中所做的那样。但我做不到。此外，我没有在 log.INFO
java - 在 REST API 中创建 PUT 和 POST 端点，而不创建 GET 端点？
我正在为资源 items 编写端点，它是 applications 的子资源，如下所示:applications/{:id}/items。项目和应用程序都具有除名称之外的其他属性。我创造了 GET
具有不同权限的 RESTful 端点
我正在创建一个 API，其中基于经过身份验证的用户可以更改对象的不同属性的权限。解决这个问题的常用方法是什么？我应该有这样的端点吗 /admin/users 和 /users 具有不同的 API
具有非根路径的 gRPC 端点
也许(希望如此)我错过了一些非常简单的东西，但我似乎无法弄清楚。我有一组我想放在 nghttpx 代理后面的 gRPC 服务。为此，我需要能够使用非根 url 上的 channel 配置我的客户端。
用于银行卡法币存款的币安 api 端点？
我没有找到法定存款的历史记录(来自银行卡)，这里只有加密存款:https://prnt.sc/ttdwc2= ) 例如，在我的银行帐户界面中，我在 5 月 12 日找到了存款，但在这里找不到...
所有可用指标的 Prometheus 端点
我很好奇普罗米修斯的工作原理。使用 Prometheus 界面，我可以看到一个下拉列表，我认为其中包含所有可用的指标。但是，我无法访问列出所有抓取的指标的指标端点。 http://targethost
用于文件下载的 GraphQL 端点
是否可以从 apollo-server-express 上的 GraphQL 端点触发浏览器中的文件下载？应用？我有一个用标准 express 写的端点 app.get函数(见下文)，但我想利用 G
用于所有媒体上传的 Strapi 端点
有谁知道在一个请求中获取您上传到媒体库的所有图像的端点吗？我将 next js 与 Strapi 一起使用，需要一种方法来从媒体库中获取所有图像，但似乎没有任何相关文档最佳答案 /api/上传 GE
具有优先级的 WCF 端点
关闭。这个问题需要更多focused .它目前不接受答案。想改进这个问题吗？更新问题，使其只关注一个问题 editing this post . 关闭 6 年前。 Improve this qu
python - Heroku 端点
我编写了一个简单的 HTTP 监听器并将其部署在 Heroku 应用程序中。我确保在 $PORT 中绑定(bind)端口。现在，我尝试使用 url name-of-my-app.herokuapp.
android - 验证消息来自特定的应用程序/端点
我正在尝试构建一个安全系统，用于将数据从客户端 Android 应用程序传输到运行 PHP 的网络服务器。我想做的是确保系统是加密安全的，这样来自应用程序的消息可以被验证为实际上来自应用程序本身，而
gousb - 不是 OUT 端点
我是 Go 编程语言的新手。尝试使用 gousb访问爱普生收据打印机。因此，我从存储库中获取了一些示例代码，并对其进行了一些调整，以验证我是否可以访问打印机。我可以看到打印机并枚举端点。我收到此输
ios - 我们如何模拟 azure 端点？
我正在使用 azure API 端点。 ....azure-api.net/...。当我尝试使用 Charles 代理查看 HTTP 请求/响应时，HTTP 响应为空。当我关闭代理时，该请求有效。我
azure - 在元数据文档中找不到 WsTrust 端点
我正在关注这个tutorial了解用户成功登录后如何获取 token 。到目前为止我已完成的步骤: 我已使用此 URL 注册了自己(用户名和密码):https://MyCompany.b2clogi
soap - 如何连接到 SVC 端点？
给定一个以 .svc 结尾且应该运行 SOAP 网络服务的 URL，我如何从中获取一些数据？我试过: 通过网络浏览器访问它通过 Python 的库 Zeep 访问它通过 Microsoft 实用
rest - 有没有办法保护公共(public)端点？
我认为公共(public) REST API(例如注册端点)无法验证用户身份是否正确？例如，我们的端点应该只接受来 self 们的移动应用程序和 future 网络应用程序的请求。我很确定这在逻辑上
.net - 如何硬编码服务的默认 WCF 端点？
在自托管服务中，我想使用 App.config 中指定的端点(如果存在)，或者如果 App.config 为空则使用代码中指定的默认端点。我该怎么做？编辑:澄清一下，这是在服务器(服务)端使用 Se
android - 如何配置实时开发人员通知以使用我的后端(https 端点)？
我需要在我的后端服务器中实现实时开发者通知，以了解我的用户所做的任何购买修改(暂停帐户、续订订阅等)。我的后端服务器是用 Delphi 制作的，没有现成的 Delphi 库，但是，我可以制作一个 HT
kubernetes - 如何连接到 Kubernetes 端点？
我创建了一个 Kubernetes 服务: [root@Infra-1 kubernetes]# kubectl describe service gitlab Name: git
具有大量输入数据的 REST 端点 (GET)
我正在开发一个应用程序，我需要将对象列表传递给 REST 端点，该端点将进行一些计算并将结果返回给调用者。问题更多是关于如何处理这种情况的哲学问题？在 GET 请求中传递大量有效负载是一个坏主意。

首页

博学

6Ren·AI

商城

wcf - 每个端点的不同服务行为