WCF、ASP.NET 成员资格提供程序和身份验证服务

Question

我编写了一个与 WCF 服务 (BasicHttpBinding) 通信的 Silverlight 2 应用程序。托管 Silverlight 内容的站点使用 ASP.NET 成员资格提供程序进行保护。我可以使用 WCF 服务中的 HttpContext.Current.User.Identity.Name 访问当前用户，并且我已打开 AspNetCompatibilityRequirementsMode。

我现在想使用完全相同的 Web 服务编写一个 Windows 应用程序。为了处理身份验证，我启用了 认证服务, ，并且可以调用“登录”来验证我的用户......好吧，一切都好……但是我到底如何在其他服务客户端上设置身份验证 cookie？！

两种服务都托管在同一域上

• MyDataService.svc <- 处理我的数据的
• AuthenticationService.svc <- Windows 应用程序必须调用进行身份验证的服务。

我不想为 Windows 客户端创建新服务，或使用其他绑定...

客户端应用程序服务是另一种选择，但所有示例仅限于展示如何获取用户、角色及其个人资料......但是，一旦我们使用客户端应用程序服务进行身份验证，就应该有一种方法可以在回调同一服务器时将该身份验证 cookie 附加到我的服务客户端。

根据同事的意见，解决方案是添加一个 wsHttpBinding 端点，但我希望我可以解决这个问题......

Answer 1

我终于找到了一种方法来完成这项工作。为了进行身份验证，我使用“WCF 身份验证服务”。验证服务时将尝试设置验证 cookie。我需要从响应中获取此 cookie，并将其添加到对同一台计算机上的其他 Web 服务发出的任何其他请求中。执行此操作的代码如下所示：

var authService = new AuthService.AuthenticationServiceClient();
var diveService = new DiveLogService.DiveLogServiceClient();

string cookieHeader = "";
using (OperationContextScope scope = new OperationContextScope(authService.InnerChannel))
{
    HttpRequestMessageProperty requestProperty = new HttpRequestMessageProperty();
    OperationContext.Current.OutgoingMessageProperties[HttpRequestMessageProperty.Name] = requestProperty;
    bool isGood = authService.Login("jonas", "jonas", string.Empty, true);
    MessageProperties properties = OperationContext.Current.IncomingMessageProperties;
    HttpResponseMessageProperty responseProperty = (HttpResponseMessageProperty)properties[HttpResponseMessageProperty.Name];
    cookieHeader = responseProperty.Headers[HttpResponseHeader.SetCookie];                
}

using (OperationContextScope scope = new OperationContextScope(diveService.InnerChannel))
{
    HttpRequestMessageProperty httpRequest = new HttpRequestMessageProperty();
    OperationContext.Current.OutgoingMessageProperties.Add(HttpRequestMessageProperty.Name, httpRequest);
    httpRequest.Headers.Add(HttpRequestHeader.Cookie, cookieHeader);
    var res = diveService.GetDives();
}      

正如您所看到的，我有两个服务客户端，一个用于身份验证服务，另一个用于我实际要使用的服务。第一个块将调用 Login 方法，并从响应中获取身份验证 cookie。第二个块将在调用“GetDives”服务方法之前将标头添加到请求中。

我对这段代码根本不满意，我认为更好的选择可能是使用“Web 引用”而不是“服务引用”并使用 .NET 2.0 堆栈。

Answer 2

Web 服务（例如由 WCF 创建的服务）通常最好以“无状态”方式使用，因此对 Web 服务的每次调用都会重新开始。这简化了服务器代码，因为不需要有一个回忆客户端状态的“会话”。它还简化了客户端代码，因为不需要保存票据、cookie 或其他假设服务器状态的东西。

按照所描述的方式创建两个服务会引入有状态性。客户端要么是“经过身份验证”，要么是“未经身份验证”，MyDataService.svc 必须弄清楚是哪一个。

碰巧的是，我发现当使用成员资格提供程序进行身份验证时，WCF 可以很好地工作 每一个 呼叫服务。因此，在给出的示例中，您希望将成员资格提供程序身份验证 gubbin 添加到 MyDataService 的服务配置中，并且根本不需要单独的身份验证服务。

详细信息请参见MSDN文章 这里.

[这对我来说非常有吸引力，因为我很懒，这完全是声明性的。我只需将我的 MembershipProvider 的正确配置条目分散在应用程序的 app.config 中即可！答对了！对服务中每个合约的所有调用都经过身份验证。]

公平地说，这不会特别快。如果您使用 SQL Server 作为身份验证数据库，则每个服务调用至少有一个（也许两个）存储过程调用。在许多情况下（特别是对于 HTTP 绑定）服务调用本身的开销会更大；如果没有，请考虑滚动您自己的缓存身份验证请求的成员资格提供程序的实现。

有一件事是这个 不 Give 是提供“登录”功能的能力。为此，您可以提供一个不执行任何操作（除了在身份验证失败时引发错误之外）的（经过身份验证的！）服务合同，或者您可以使用原始引用文章中所述的成员资格提供程序服务。

Answer 3

在客户端上修改服务的 <binding> 标记（在 <system.serviceModel> 内）以包括：允许Cookies=“真”

应用程序现在应该保留 cookie 并使用它。您会注意到 IsLoggedIn 现在在您登录后返回 true - 如果您不允许 cookie，它会返回 false。

Answer 4

可以将许多额外的代码隐藏在自定义消息检查器和行为后面，因此您不需要自己修改OperationContextScope。

稍后我会尝试模拟一些东西并将其发送给您。

--larsw

Answer 5

你应该看看 Cookie容器 System.Net 中的对象。该对象允许非浏览器客户端保留 cookie。这是我的团队上次遇到这个问题时使用的方法。

这是一篇简短的文章 关于如何使用它。可能有更好的，但这应该可以帮助您入门。

我们当前的 WCF 服务集和 Silverlight 2 应用程序采用了无状态路线。让 Silverlight 2 可以与与 TransportWithMessageCredential 安全性绑定的服务一起使用，尽管它需要在 Silverlight 端使用一些自定义安全代码。结果是任何应用程序只需在消息标头中设置用户名和密码即可访问服务。这可以在自定义 IRequestChannel 实现中完成一次，这样开发人员就无需担心自己设置值。尽管 WCF 确实为开发人员提供了一种简单的方法来执行此操作，但我认为是 serviceProxy.Security.Username 和 serviceProxy.Security.Password 或同样简单的方法。

Answer 6

不久前，当我使用客户端应用程序服务对 Web 服务进行身份验证时，我写了这篇文章。它使用消息检查器插入 cookie 标头。有一个包含文档和演示项目的Word 文件。虽然这不完全是你正在做的事情，但它非常接近。您可以从以下位置下载： 这里.