WCF 4.0
IIS主机
基本认证与自定义源
REST风格
使用UserNamePasswordValidator,ServiceAuthorizationManager和IDispatchMessageInspector等进行基本认证的实例和方法很多.
我所面临的问题是,验证实际上将从认证后端获取更多的信息,而不是/否答复.而且我想将这些信息以某种方式传递给被调用的服务方法(即它将是完整的用户对象,具有许多属性来控制服务行为).我想避免第二次调用用户商店,以便从安全上下文中可以访问的用户名来检索数据.
到目前为止,我发现的最接近的事情是this solution,它使用WCF REST Starter Kit的RequestInterceptor,我可以在其中注入ServiceSecurityContext的子类来承载我的数据,并将ServiceSecurityContext.Current转发回服务方法.
上面的问题是,它是为WCF 3.5编写的,我想避免使用入门工具包.
问题:任何想法将是链接中最合适的地方,所以我可以将数据从验证逻辑传递到服务.或者换句话说,我可以用我的自定义代替安全上下文来进行加载?还是其他任何载体机制?
我以后是这样的行为:
客户端(可能是浏览器)尝试使用服务:GET https://myservcer/service/data
服务器响应“需要基本认证”
客户端提供基本身份验证头并再次发送请求
该服务器基于用户/通过头文件,将一个User对象从数据库中提取出来.
如果找不到用户,请再次请求验证
如果找到用户,则User对象以某种方式传递服务方法
所有这一切都应该发生,而不必向数据库做第二次往返
到目前为止,我所理解的是,UserNamePasswordValidator不会做 – 如果我在其中检索到,那么没有办法传递User对象.
我可以创建一个自定义的IAuthorizationPolicy或SecurityToken(其中一个),并将User对象放在.但…应该发生这种情况.我可以用UserNameSecurityTokenAuthenticator吗?是否要返回正确的HTTP错误代码来请求凭据?我如何/在哪里修改web.config以使用我的自定义内容?到目前为止,我看到如何设置仅使用自定义UserNamePasswordAuthenticator.
编辑:请检查my own answer我的方法.不过问题是好的,我得到的答案是有价值的.
解决方法
@H_404_36@ 我们实现了自己的认证HTTP模块.该模块挂接到HttpApplication的“请求认证”事件,并针对后端运行身份验证.后端可以自由返回任何它想要的东西(在我们的例子中它返回的是多于yes / no)返回的对象实现了System.Security.Principal.IIdentity接口,一旦认证成功,我们附加了auth)到HttpContext.User中携带的主体.在管道下,您可以随时访问当前上下文的用户,并获取您的所有身份信息.
这种方法的唯一重大缺点是它需要ASP.net兼容性,但是如果您已经运行了这样的Rest服务,那么它不应该是一个问题.