使用从 STS 分配的令牌调用 WCF 服务
Posted
技术标签:
【中文标题】使用从 STS 分配的令牌调用 WCF 服务【英文标题】:Using tokens assigned from an STS to call a WCF service 【发布时间】:2011-07-13 15:48:45 【问题描述】:我整天都在盯着这个看,但无济于事,而且我没有想法。 IP-STS 处理登录,然后将其传递给 RP-STS,RP-STS 用声明填充令牌,然后传递到网站。这工作正常。我在 IP-STS 上有一些 WCF 功能,例如更改密码/重置密码,需要访问它们。阅读后,我应该能够将已经分配的令牌发送给 WCF,以确保用户通过身份验证。据我所知,它正在发送令牌,但不正确,也不是我想要的方式,因为它目前似乎需要一个用户名。
理想情况下我希望它获取分配给用户的令牌,而不必重新请求或重新创建任何东西,并且绝对不需要用户名/密码。
我目前遇到的错误是: 从另一方收到不安全或不正确安全的故障。故障代码和细节见内部FaultException。
详情: 无法处理该消息。这很可能是因为“http://schemas.xmlsoap.org/ws/2005/02/trust/RST/Issue”操作不正确,或者因为消息包含无效或过期的安全上下文令牌,或者因为不匹配绑定之间。如果服务由于不活动而中止通道,则安全上下文令牌将无效。为防止服务过早中止空闲会话,请增加服务端点绑定的接收超时。
这是我的网络配置中的相关位。
客户端 web.config
<system.serviceModel>
<bindings>
<customBinding>
<binding name="UsernameBinding"> <security authenticationMode="UserNameForCertificate" requireSecurityContextCancellation ="false" requireSignatureConfirmation="false" messageProtectionOrder ="SignBeforeEncryptAndEncryptSignature" requireDerivedKeys="true">
</security>
<httpTransport/>
</binding>
</customBinding>
<wsFederationHttpBinding>
<binding name="HTTPEndpoint" closeTimeout="00:10:00" openTimeout="00:10:00"
receiveTimeout="00:10:00" sendTimeout="00:10:00" bypassProxyOnLocal="false"
transactionFlow="false" hostNameComparisonMode="StrongWildcard"
maxBufferPoolSize="524288" maxReceivedMessageSize="65536" messageEncoding="Text"
textEncoding="utf-8" useDefaultWebProxy="true">
<security mode="Message">
<message issuedTokenType="http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLV1.1" negotiateServiceCredential="false"> <claimTypeRequirements>
<add claimType="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name" isOptional="false" />
</claimTypeRequirements>
<issuer address="http://localhost:13422/MembershipService" bindingConfiguration="UsernameBinding" binding="customBinding">
<identity>
<certificateReference findValue="STSTestCert" x509FindType="FindBySubjectName" storeLocation="CurrentUser" storeName="TrustedPeople" />
</identity>
</issuer>
</message>
</security>
</binding>
</wsFederationHttpBinding>
</bindings>
<behaviors>
<!-- Credentials configuration -->
<endpointBehaviors>
<behavior name="ServiceBehavior">
<clientCredentials>
<clientCertificate findValue="STSTestCert" storeLocation="CurrentUser" storeName="TrustedPeople" x509FindType="FindBySubjectName" />
<serviceCertificate>
<defaultCertificate findValue="STSTestCert" storeLocation="CurrentUser" storeName="TrustedPeople" x509FindType="FindBySubjectName"/>
<authentication certificateValidationMode="PeerOrChainTrust" />
</serviceCertificate>
</clientCredentials>
</behavior>
</endpointBehaviors>
</behaviors>
<client>
<endpoint address="http://localhost:13422/MembershipService"
binding="wsFederationHttpBinding" bindingConfiguration="HTTPEndpoint"
contract="MembershipService.IAccountMembershipService" name="HTTPEndpoint" behaviorConfiguration="ServiceBehavior">
<identity>
<dns value="localhost"/>
</identity>
</endpoint>
</client>
服务端:
<system.serviceModel>
<serviceHostingEnvironment multipleSiteBindingsEnabled="true" aspNetCompatibilityEnabled="true">
<serviceActivations>
<add relativeAddress="IAccountMembershipService.svc" service="AccountMembershipService" factory="System.ServiceModel.Activation.WebServiceHostFactory" />
</serviceActivations>
</serviceHostingEnvironment>
<bindings>
<wsHttpBinding>
<binding name="federationBinding" receiveTimeout="00:10:00" sendTimeout="00:10:00" closeTimeout="00:10:00" openTimeout="00:10:00">
<security mode="Message">
<message negotiateServiceCredential="true" />
</security>
</binding>
</wsHttpBinding>
<wsFederationHttpBinding>
<binding name="federationBinding" closeTimeout="00:10:00" openTimeout="00:10:00"
receiveTimeout="00:10:00" sendTimeout="00:10:00" bypassProxyOnLocal="false"
transactionFlow="false" hostNameComparisonMode="StrongWildcard"
maxBufferPoolSize="524288" maxReceivedMessageSize="65536" messageEncoding="Text"
textEncoding="utf-8" useDefaultWebProxy="true">
<security mode="Message">
<message issuedTokenType="http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLV1.1" negotiateServiceCredential="false">
<claimTypeRequirements>
<add claimType="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name" isOptional="false" />
</claimTypeRequirements>
<issuer address="http://localhost:13422/MembershipService" bindingConfiguration="UsernameBinding" binding="customBinding">
<identity>
<certificateReference findValue="STSTestCert" x509FindType="FindBySubjectName" storeLocation="CurrentUser" storeName="TrustedPeople" />
</identity>
</issuer>
</message>
</security>
</binding>
</wsFederationHttpBinding>
</bindings>
<behaviors>
<serviceBehaviors>
<behavior name="serviceBehavior">
<serviceMetadata httpGetEnabled="true" />
<serviceCredentials>
<serviceCertificate findValue="CN=STSTestCert" storeLocation="LocalMachine" storeName="My" x509FindType="FindBySubjectDistinguishedName"/>
</serviceCredentials>
</behavior>
</serviceBehaviors>
</behaviors>
<extensions>
<behaviorExtensions>
<!-- This behavior extension will enable the service host to be Claims aware -->
<add name="federatedServiceHostConfiguration" type="Microsoft.IdentityModel.Configuration.ConfigureServiceHostBehaviorExtensionElement, Microsoft.IdentityModel, Version=0.6.1.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35"/>
</behaviorExtensions>
</extensions>
<services>
<service behaviorConfiguration="serviceBehavior" name="STS.IP.Models.AccountMembershipService">
<endpoint binding="wsFederationHttpBinding" bindingConfiguration="federationBinding" name="HTTPEndpoint" contract="STS.IP.Infrastructure.IAccountMembershipService" >
<identity>
<dns value="localhost"/>
</identity>
</endpoint>
<!-- <endpoint binding="wsHttpBinding" bindingConfiguration="" name="HTTPEndpoint" contract="Aurora.WCFIsAlive.IIsAlive" />-->
</service>
</services>
对大量的粘贴感到抱歉,但希望有人能发现我的错误! 我只是用错误的方式接近它吗?
【问题讨论】:
【参考方案1】:我不知道这是否有任何帮助,但它可能有点相关......您可以重复使用已发行的令牌,这是我以前做过的事情。我的场景是说 ASP.NET 站点或 WCF 服务是 WIF 安全的,但是 ASP.NET 站点或 WCF 服务需要调用另一个需要 SAML 令牌/WIF 的服务,等等如果你可以重用令牌将 WIF 设置为使用引导。只要第二个网络服务信任相同的 STS。
http://msdn.microsoft.com/en-us/library/ee517256.aspx#_bootstrap
配置要设置在:
<microsoft.IdentityModel><service><securityTokenHandlers>:
这个值:
<securityTokenHandlerConfiguration saveBootstrapTokens="true" />
【讨论】:
【参考方案2】:卡空间一直在弹出... client.ClientCredentials.SupportInteractive = false;
【讨论】:
如果这行得通,我会建造一座献给你的神殿。 如果它的好答案只是标记为正确,你就不需要为我建立一个神殿。大声笑【参考方案3】:Web 站点(现在正在工作的依赖方)和 IP-STS 上的 WCF 端点是 2 个不同的应用程序。您不能重复使用相同的令牌。您应该为 IP-STS 服务获取一个新令牌(例如更新密码等)
在这种情况下,IP-STS 服务在概念上只是另一个依赖方(可能信任自己)。
【讨论】:
感谢您的回复!我也尝试过访问 RP-STS 的类似方法,但我仍然遇到非常类似的问题。任何指针?我真的很坚持这个。 抱歉,我不能 100% 确定我理解。您在使用 RP-STS 时遇到什么问题? 想想你所说的我已经看到了我的方式的错误。 RP-STS 也有需要访问的服务,因为它依赖于 IP,所以任何请求都会立即返回到 IP(这显然只是返回 html,我知道这一点)。该项目目前已拆分为一个域项目,因此我只需要创建一个新的 Web 服务项目,该项目依赖于 RP,因此令牌将是有效的。或者至少,从我能解决的问题来看。 虽然这一切都不能解释为什么卡空间一直在弹出!希望这种情况不会再发生。以上是关于使用从 STS 分配的令牌调用 WCF 服务的主要内容,如果未能解决你的问题,请参考以下文章
在 WCF/WIF 中,如何合并来自两个不同客户端的自定义 sts 令牌的声明
如何使用 Microsoft JWT 令牌处理程序来保护基于 webHttpBinding 的 WCF 服务
在不使用 WIFI 的情况下在 WCF 服务调用中包含 SAML 2.0 令牌