使用 .NET Remoting 进行会话内通信

发布于 2024-08-22 16:52:17 字数 183 浏览 7 评论 0 原文

我有一个应用程序需要由第二个应用程序调用。这些应用程序需要无需配置（最好无需触及注册表）即可找到彼此，并在终端服务环境中正常运行。我听说使用命名管道的 .net 远程处理可能是实现此目的的一种方法，但我不明白如何限制管道只能在创建它的会话中访问。谢谢

更新：我对 WCF 很好，问题不是特定于远程处理，而是如何将命名管道设置为会话本地。

原文

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

我也只是我 2024-08-29 16:52:17

如果您的应用程序在 Windows Vista 或 Windows 7 上运行，并且您正在使用 WCF NetNamedPipeBinding，则您将自动获得只能从同一会话中访问的服务，前提是实现管道服务端的进程没有SeCreateGlobalPrivilege 权限。实际上，这通常意味着服务器可以是在交互式会话中启动的任何程序，前提是它不是以管理员身份运行启动的。

其原因与 WCF 创建的命名共享内存对象有关，该对象是为了向潜在客户端发布实际管道名称（GUID）而创建的。我在我的博客上解释了这种机制。如果服务进程具有SeCreateGlobalPrivilege，则在所有会话可见的Global kernel命名空间中创建此发布对象；如果没有此权限，则在本地内核命名空间中创建该对象，该对象仅在同一会话中可见。请注意，这并不能提供绝对的安全性：如果管道名称 GUID 以某种方式以其他方式公开，则理论上可以从另一个会话访问命名管道本身（使用本机 API 调用而不是 WCF 客户端堆栈）。

如果您需要支持较早的操作系统，或者如果您希望管道本身具有绝对的安全性，则需要在 WCF 服务通道堆栈创建管道后修改管道上的 DACL 来显式实现限制。这需要对标准绑定进行一些修改，我将展示如何完成此操作在这里。您还需要编写一些 P/Invoke 代码（这不是特别简单）来发现正确的登录会话 SID，以便在 DACL 中创建 ACE。在 .NET 4 中，WCF 服务堆栈本身会发现并使用登录会话 SID 来限制创建新管道实例的权限，因此您可以使用 Reflector 来查看它是如何执行此操作的 - 请参阅：System.ServiceModel。 Channels.SecurityDescriptorHelper.GetProcessLogonSid()。