WCF 安全性验证包括证书验证、自定义密码验证、AOP信息拦截验证

本文链接：https://blog.youkuaiyun.com/anbailong/article/details/79639957

当系统越做到后面要求也就越高，简单的wcf的调用的功能似乎不能满足一些业务需求，例如：传递的参数数据比较大，跨平台的调用，客户端调用的限制，也就是说安全性的考虑，在安全性测试的过程中甲方说你们这个服务安全性太低，谁都能调用。、。。所以确实要考虑了安全性的因素，所以索性的花了几天时间来调研了一下wcf的安全性的相关知识。

在百度资料的过程中发现最多的莫过于 wcf 的message 和transport ，其实大部分都和网上差不多，但是极为重要的一点是不一样的的我觉得这个是极容易被大家忽略的，我也是实验了好多次才发现的。

message方式是信息层方式很显然重点是信息这种方式就没用这种传用户名+密码的方式，必须要用证书验证，证书虽说安全一些，但是安装一个客户端还要对应的安装一个证书，不免有一些麻烦，所以我是没有使用这种方式的，网上所谓message也可以用用户名和密码那绝对不可能的，触发你装了证书。

transport方式，这个是传输层的安全，这个就是传统的在head中验证参数，但是如果你的wcf是部署在iis ，那就恭喜你，如果用了这种安全性，在iis上必须要加身份验证，那我就搞不懂了，我既然都要加自己的验证了你还必须让我把 wcf 网站设置身份，那不是脱了裤子放屁吗，我客户端是java程序，那我还得先用java 实现身份验证，然后我还要在实现transport，所以我直接也pass掉了。但是transport 还是要比message 要更满足我现在的需求我先把transport的实现贴出来了吧，还有就是basicHttpBinding就可以满足安全性的配置。下面是我从微软官网考的例子作为参考，如果你用 transport 就用<transport > 如果你用message 就用<message >标签。

security 包含：None/Transport/Message/TransportWithMessageCredential/TransportCredentialOnly 网上又他们的区别

包括每个选项的区别。自己可以查到很多例如https://www.aliyun.com/zixun/content/2_6_525059.html 这个就介绍的很详细

</basicHttpBinding>

这个是用custom 和证书的方式的配置，请参考，其实我已经实现了，和我上面说的一样就是因为要加身份验证不然会报什么basicHttpBinding 验证不能是 anymous 这个错，那就是验证的问题。我用 transport的Basic 那就用下面的userNameAuthentication标签在后台自定义customUserNamePasswordValidatorType 类并且赋值好命名空间。如果要用证书方式那就用serviceCertificate 这个标签内容在

<!--
<serviceCertificate storeLocation="LocalMachine" storeName="Root" findValue="WCFTest" x509FindType="FindBySubjectName" />

</serviceCredentials>-->

而最后我没有用上述的方法而是使用的 wcf 的AOP 方式，也就是请求拦截，核心是和java web中的filter 类似也就是说，每个请求都会进入一个方法进行拦截，做一些安全的验证如果验证通过才继续总服务的方法，下面先贴出wcf 的配置文件。

在servicemode 下面加一下的内容，可以理解为给wcf 服务加扩展，注册一个扩展， name 自定义，type 为你的类型，和命名空间，后面的照写。

下面是在 behavior 加入刚刚自己自定义的标签；

</behavior >

最后然后在service 绑定上 behaviorConfiguration

接下来就要写后台代码了这个代码原封不动靠过来了用就好了注意自己要定义一个 MessageInspector 这个拦截器的类

public class ServiceBehavior : BehaviorExtensionElement,IServiceBehavior
{

#region BehaviorExtensionElement

public void AddBindingParameters(ServiceDescription serviceDescription, System.ServiceModel.ServiceHostBase serviceHostBase, System.Collections.ObjectModel.Collection<ServiceEndpoint> endpoints, System.ServiceModel.Channels.BindingParameterCollection bindingParameters)
{

}

public void ApplyDispatchBehavior(ServiceDescription serviceDescription, System.ServiceModel.ServiceHostBase serviceHostBase)
{
foreach (ChannelDispatcher channelDispatcher in serviceHostBase.ChannelDispatchers)
{
foreach (EndpointDispatcher endpointDispatcher in channelDispatcher.Endpoints)
{
endpointDispatcher.DispatchRuntime.MessageInspectors.Add(new MessageInspector());
}
}
}

public void Validate(ServiceDescription serviceDescription, System.ServiceModel.ServiceHostBase serviceHostBase)
{

}

#endregion

#region IServiceBehavior Members
public override Type BehaviorType
{
get { return typeof(ServiceBehavior); }
}
protected override object CreateBehavior()
{
return new ServiceBehavior();
}
#endregion
}

//拦截器注意进行实际操作的类，继承IDispatchMessageInspector接口，AfterReceiveRequest这个是在请求之后会进行这个方法执行，return null 代码成功， thorow异常代表禁止调用

public class MessageInspector : IDispatchMessageInspector
{

object IDispatchMessageInspector.AfterReceiveRequest(ref Message request, IClientChannel channel, InstanceContext instanceContext)
{
string un = "";
string ps = "";
// 栓查验证信息
try
{
un = request.Headers.GetHeader<string>("username", "随便写和客户端一直就行");
ps = request.Headers.GetHeader<string>("password", "随便写和客户端一直就行");

}
catch (Exception ex)
{
throw new Exception("非法请求,不予提供服务");
}

if (CheckAuth(un, ps))
{
return null;
}
else
{
throw new Exception("请求失败,请通知管理员检查验证");
}

}

由于很赶时间，所以就没用写的太详细，实现起来很曲折，但是我觉得AOP 这种面向切面的方式还是值得使用的，安全性足够了，比较wcf 是soap 方式的请求，封装成的xml 普通的模拟拦截还是有点苦难的。 java客户端调用就用axis 这个就能调用，记得要把验证的用户名和密码放在头部节点里，要保证字段以及命名空间与服务器的一直，如果后面有时间会继续完善这个地方