为啥我在 IIS7 上的 WCF Rest 服务会进行两次身份验证？

Posted 2023-03-15

【中文标题】为啥我在 IIS7 上的 WCF Rest 服务会进行两次身份验证？

【英文标题】：Why is my WCF Rest Service on IIS7 Authenticating TWICE?为什么我在 IIS7 上的 WCF Rest 服务会进行两次身份验证？

【发布时间】：2011-02-03 20:04:37

【问题描述】：

好的，如果有人能帮我解释一下，我将不胜感激。所以我们开始吧。前几天我的休息服务运行良好，但在我不小心覆盖了 web.config 之后，一切都崩溃了。过去一天半的时间里，我一直在试图解决问题，但我似乎无法弄清楚丢失或放错了什么地方。

所以，我围绕 WCF Rest Contrib (http://wcfrestcontrib.codeplex.com) 的身份验证过程设计了这项服务。现在，我可以在带有当前 web.config 的本地主机上正常工作（减去端点条目），但是一旦我将其上传到 discountasp 并在 ISS7 管理器中选择“基本授权”，看来我正在通过身份验证两次！一次使用我的折扣 asp.net 用户/通行证，然后下次使用应用程序用户/通行证。不幸的是，我只提供一组凭据，不想将我的 discountasp 帐户信息硬编码到应用程序中。就像我之前说的，这在几天前工作得很好。反正。这是我现在的 web.config：

<?xml version="1.0"?>
<configuration>
<connectionStrings>
    <add name="SQL2008_ConnectionString" connectionString="Data Source=sql2k8xx.discountasp.net;Initial Catalog=SQL2008_xx;Persist Security Info=True;User ID=SQL2008_xx_user;Password=myPass"
      providerName="System.Data.SqlClient" />
  </connectionStrings>
  <system.web>
    <httpRuntime maxRequestLength="204800" executionTimeout="3600"/>
    <compilation debug="true">
      <assemblies>
        <add assembly="System.Core, Version=3.5.0.0, Culture=neutral, PublicKeyToken=B77A5C561934E089"/>
        <add assembly="System.Web.Extensions, Version=3.5.0.0, Culture=neutral, PublicKeyToken=31BF3856AD364E35"/>
      </assemblies>
    </compilation>

    <httpModules>
      <add name="ServiceAnonymityModule" type="WcfRestContrib.Web.ServiceAnonymityModule, WcfRestContrib"/>
    </httpModules>
  </system.web>

  <system.codedom>
    <compilers>
      <compiler language="c#;cs;csharp" extension=".cs" warningLevel="4" type="Microsoft.CSharp.CSharpCodeProvider, System, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089">
        <providerOption name="CompilerVersion" value="v3.5"/>
        <providerOption name="WarnAsError" value="false"/>
      </compiler>
    </compilers>
  </system.codedom>

  <system.webServer>
    <validation validateIntegratedModeConfiguration="false"/>
    <modules>
      <remove name="ServiceAnonymityModule"/>
      <add name="ServiceAnonymityModule" type="WcfRestContrib.Web.ServiceAnonymityModule, WcfRestContrib"/>
    </modules>
    <handlers>
      <remove name="WebServiceHandlerFactory-Integrated"/>
    </handlers>
  </system.webServer>

  <system.diagnostics>
  <trace autoflush="true" />
  </system.diagnostics>

  <system.serviceModel>
    <serviceHostingEnvironment aspNetCompatibilityEnabled="false">
      <baseAddressPrefixFilters>
        <add prefix="http://www.mydomain.com/myServiceBaseAddress"/>
      </baseAddressPrefixFilters>
    </serviceHostingEnvironment>
    <extensions>
      <behaviorExtensions>
        <add name="webAuthentication" type="WcfRestContrib.ServiceModel.Configuration.WebAuthentication.ConfigurationBehaviorElement, WcfRestContrib, Version=1.0.5.0, Culture=neutral, PublicKeyToken=89183999a8dc93b5"/>
        <add name="errorHandler" type="WcfRestContrib.ServiceModel.Configuration.ErrorHandler.BehaviorElement, WcfRestContrib, Version=1.0.5.0, Culture=neutral, PublicKeyToken=89183999a8dc93b5"/>
        <add name="webFormatter" type="WcfRestContrib.ServiceModel.Configuration.WebDispatchFormatter.ConfigurationBehaviorElement, WcfRestContrib, Version=1.0.5.0, Culture=neutral, PublicKeyToken=89183999a8dc93b5"/>
        <add name="webErrorHandler" type="WcfRestContrib.ServiceModel.Configuration.WebErrorHandler.ConfigurationBehaviorElement, WcfRestContrib, Version=1.0.5.0, Culture=neutral, PublicKeyToken=89183999a8dc93b5"/>
      </behaviorExtensions>
    </extensions>
    <bindings>
      <customBinding>
        <binding name="HttpStreamedRest">
          <httpTransport maxReceivedMessageSize="209715200" manualAddressing="true" />
        </binding>
        <binding name="HttpsStreamedRest">
          <httpsTransport maxReceivedMessageSize="209715200" manualAddressing="true" />
        </binding>
      </customBinding>
    </bindings>
    <behaviors>
      <serviceBehaviors>
        <behavior name="Rest">

          <webAuthentication
            requireSecureTransport="false"
            authenticationHandlerType="WcfRestContrib.ServiceModel.Dispatcher.WebBasicAuthenticationHandler, WcfRestContrib"
            usernamePasswordValidatorType="MyLibrary.Runtime.SecurityValidator, MyLibrary"
            source="MyRESTServiceRealm"/>
          <webFormatter>
            <formatters defaultMimeType="application/xml">
              <formatter mimeTypes="application/xml,text/xml" type="WcfRestContrib.ServiceModel.Dispatcher.Formatters.PoxDataContract, WcfRestContrib"/>
              <formatter mimeTypes="application/json" type="WcfRestContrib.ServiceModel.Dispatcher.Formatters.DataContractJson, WcfRestContrib"/>
              <formatter mimeTypes="application/x-www-form-urlencoded" type="WcfRestContrib.ServiceModel.Dispatcher.Formatters.FormUrlEncoded, WcfRestContrib"/>
            </formatters>
          </webFormatter>
          <errorHandler errorHandlerType="WcfRestContrib.ServiceModel.Web.WebErrorHandler, WcfRestContrib"/>
          <webErrorHandler
            returnRawException="true"
            logHandlerType="MyLibrary.Runtime.LogHandler, MyLibrary"
            unhandledErrorMessage="An error has occured processing your request. Please contact technical support for further assistance."/>
        </behavior>
      </serviceBehaviors>
    </behaviors>
  </system.serviceModel>

</configuration>

因此，每当我上传此内容并将 ISS 设置更改为基本身份验证时，它似乎正在尝试使用默认处理程序进行身份验证，就好像我尝试输入我的网络应用程序用户/密码一样，我收到一个错误屏幕，其中具有以下有关模块/处理程序的详细信息

详细的错误信息

模块： IIS Web Core通知： AuthenticateRequest处理程序： svc-ISAPI-2.0错误代码： 0x80070005

请求的 URL：http://www.mydomain.com:80/MyService.../MyService.svc物理路径： E:\web\xxxxxx\htdocs\MyServiceBaseAddress\MyService.svc登录方法：尚未确定登录用户：尚未确定

现在是有趣的东西...我尝试提供我的 discountasp.net 帐户用户名/密码来踢球，果然它正确响应任何 [OperationContract] 不 定义了 [OperationAuthentication] （这只是我拥有的一两个操作）。

我觉得这很奇怪，所以我看着 fiddler，发现了一些有趣的东西。

每当我尝试请求一个定义了 [OperationAuthentication] 的过程并提供我的 discountasp.net 用户名/密码时，我都会在 Fiddler 中获得两个不同的“WWW-Authenticate”标头：

WWW-身份验证：基本 realm="MyRESTServiceRealm"

WWW-身份验证：基本 领域="www.mydomain.com"

另一方面，如果我尝试仅使用我的应用程序的用户/通行证访问相同的过程，我只会获得网站的标题：

WWW-Authenticate: Basic realm="www.mydomain.com"

我的假设是，出于某种原因，我必须先通过 IIS 设置的默认“基本授权”层，然后才能进入应用程序的“自定义基本授权”层。

通过为我用于我的 discountasp.net 帐户的服务创建相同的用户/通行证来验证这一点后，我能够成功通过两层身份验证而没有任何问题......所以我想我可以得出这样的结论确实是问题。现在如何禁用默认设置？我需要在 IIS 管理器中还是在 web.config 中执行此操作？

无论如何，我完全不知道这是怎么可能的，也不知道我需要做什么来解决这个问题，但我知道有些事情严重不正常。

任何建议将不胜感激！谢谢。

【参考方案1】：

你说：

一旦我将其上传到 discountasp 并在 ISS7 管理器中选择“基本授权”，我似乎获得了两次身份验证！

如果您的应用程序自己处理授权，为什么要在 IIS 中打开基本授权？似乎您只想在 IIS 级别启用匿名身份验证，然后让应用程序自己做。

【讨论】：

当我尝试得到以下错误： 错误摘要 HTTP 错误 401.2 - 未经授权 由于身份验证标头无效，您无权查看此页面。详细错误信息模块 IIS Web Core Notification AuthenticateRequest Handler svc-ISAPI-2.0 Error Code 0x80070005

附加说明：每当我将服务上传到 discountasp.net 时，它都会在服务的身份验证部分下自动启用 IIS7 中的匿名和基本身份验证。所以，我并没有真正选择基本授权，我只是禁用匿名身份验证并单独保留基本。如果我不禁用匿名身份验证，我会收到以下错误：“IIS 指定身份验证方案'基本，匿名'，但绑定只支持指定一个身份验证方案。更改 IIS 设置，以便只使用一个身份验证方案。”

清理我的 web.config 后，我再次尝试了这个，只在 IIS 中启用了匿名身份验证，它工作正常。我查看了自上次 git 提交以来所做的更改，我很确定我没有更改任何相关内容，但它现在有效，所以我很高兴。谢谢。