ASP.NET 兼容模式下的 WCF 服务 - 传递用户名/密码的最简单方法是什么

Question

我有一个Web服务（WCF或ASMX并不重要）...我制作了一个控制台应用程序，右键单击，添加服务引用。 到目前为止，一切都很好。

但是，我一生都无法将“安全”凭据传递给我的服务。 这是我的客户端代码：

var client = new MyClient();

client.ClientCredentials.UserName.UserName = "bob";
client.ClientCredentials.UserName.Password = "123!!";

client.HelloWorld();

client.Close();

但是在服务器上，无论我做什么（aspnetcompant 模式打开和关闭、wcf 服务、asmx 服务、自定义 http 处理程序等）...我找不到“bob:123!!” 任何地方。 不在标头中，不在 HttpContext.Current.User.Identiy.Name 中，不在 Thread.CurrentPrincipal 中......什么都没有。

我在这里缺少什么？

Answer 1

您是否检查过有关自定义验证器的这篇文章：http://www.leastprivilege.com/FinallyUsernamesOverTransportAuthenticationInWCF.aspx？

另外，当我从事这项工作时，对我有帮助的一件事是禁用 Web 服务器对该目录的匿名访问。 当您未经身份验证时，HttpContext.Current.User.Identity.Name 始终返回空字符串。 因此，看起来您的身份验证正确，只是无法“找到”用户名，但实际上您是匿名登录的。 至少在禁用匿名访问的情况下，您会遇到异常，并且可以更轻松地弄清楚身份验证方面，这是最难的部分。

Answer 2

是的，我有，显然如果你不使用 SSL，.Net 会抛出异常。 显然，如果没有 SSL，您无法做我想做的事。

Answer 3

请参阅：http://developers.de/blogs/damir_dobric/ archive/2006/07/31/890.aspx 有关 TransportCredentialOnly 的信息，以便能够在没有 SSL 的情况下传递用户名和密码。

这只应在测试环境中完成，因为您以纯文本形式公开用户的密码。

Answer 4

您是否在端点绑定上配置了 UserName（消息安全）或 Basic（传输安全）客户端凭据类型？

Answer 5

据我了解，WCF 进行消息级身份验证，而不是集成身份验证。 无论哪种情况，我不确定传递凭据是否可以在没有 SSL 的情况下完成...

您是否尝试过在端点上打开匿名身份验证（通过 IIS）？ 据我了解，WCF 使用消息级安全性（在消息标头中传递的用户名/密码）而不是 HTTP 标头（在 Windows Integrated、SPNego 等集成身份验证方法中使用）

我找到的一些链接...

• WCF 身份验证服务概述(http://msdn.microsoft.com/en-us/library/bb386582 .aspx)
• 如何：启用 WCF 身份验证服务 (http:// msdn.microsoft.com/en-us/library/bb398990.aspx）

Answer 6

如果我正确理解您的问题，则您已成功为 WCF 服务配置用户名身份验证（抱歉 - 我将重点关注 WCF），并且您希望在服务的方法中访问用户名和密码。

您可以通过ServiceSecurityContext.Current.PrimaryIdentity访问用户名，我不相信您可以轻松访问密码。

我在网上找到的一个建议（我不太喜欢）是让您的自定义验证器保留用户名和密码的字典，稍后您可以根据给定的用户名从代码中访问该字典。

我不喜欢这个有几个原因 - 一 - 你不应该真正有权访问密码，二 - 我不确定这有多安全，三 - 是否可能有重复的用户名（我知道一些系统（如果是这种情况）您可能最终会得到错误的结果。

Answer 7

你尝试过访问这个吗？ （特别是如果您使用自己的身份验证系统以及自己的用户名密码和证书验证器。

System.ServiceModel.ServiceSecurityContext.Current.PrimaryIdentity.Name

您可以获取调用者的姓名，但不能获取密码。

Answer 8

如何：使用自定义用户名和密码验证程序。