前面写了 WCF账户密码认证, 实现了帐号密码认证, 接下来看看如何对方法的细粒度控制, 本文很大程度参考了 WCF安全之基于自定义声明授权策略, 这篇文章对原理讲得比较清楚, 而我这篇文章呢, 顶多算对操作实现进行补遗.

 

自定义权限访问, 需要你实现两个类

  • 自定义授权策略声明集管理器:                找出某个用户的所有权限
  • 自定义的基于服务授权访问检查的管理器:    当前访问资源与权限集合比较, 并给出能否访问的结果

 

1. 自定义授权策略声明集管理器

需要注意的是需要始终允许Metadata请求(mex) https://msdn.microsoft.com/en-us/library/aa347849(v=vs.110).aspx

using System;

using System.Linq;

using System.ServiceModel;

using System.ServiceModel.Description;

using System.IdentityModel.Claims;

using System.Security.Principal;

namespace WCF_UserPassword

{

    public class CustomServiceAuthorizationManager : ServiceAuthorizationManager

    {

        protected override bool CheckAccessCore(OperationContext operationContext)

        {

            //始终允许Metadata请求(mex)

            if (operationContext.EndpointDispatcher.ContractName == ServiceMetadataBehavior.MexContractName &&

            operationContext.EndpointDispatcher.ContractNamespace == "http://schemas.microsoft.com/2006/04/mex" &&

            operationContext.IncomingMessageHeaders.Action == "http://schemas.xmlsoap.org/ws/2004/09/transfer/Get")

            {

                GenericIdentity identity = new GenericIdentity("");//必须插入一个Principal

                operationContext.ServiceSecurityContext.AuthorizationContext.Properties["Principal"] = new GenericPrincipal(identity, null);

                return true;

            }

            //访问的方法

            string action = operationContext.RequestContext.RequestMessage.Headers.Action;

            string userName = "";

            foreach (ClaimSet cs in operationContext.ServiceSecurityContext.AuthorizationContext.ClaimSets)

            {

                //找到用户名

                foreach (Claim claim in cs.FindClaims(ClaimTypes.Name, Rights.PossessProperty))

                {

                    userName = claim.Resource.ToString();

                }

                if (cs.Issuer == ClaimSet.System)//如果此声明是应用程序颁发的。

                {

                    //参数ClaimType应该是ClaimTypes的公开成员,不过无所谓, 反正是字符串, 只要相同就可以了

                    var result = cs.FirstOrDefault(c => c.Resource.ToString() == action && c.ClaimType == "net.tcp://CustomClaimSet/" && c.Right == Rights.PossessProperty);

                    if (result != null)

                    {

                        //必须插入一个Principal

                        GenericIdentity identity = new GenericIdentity("");

                        operationContext.ServiceSecurityContext.AuthorizationContext.Properties["Principal"] = new GenericPrincipal(identity, null);

                        Console.WriteLine("同意{0}访问,URI:{1}", userName,action);

                        return true;

                    }

                }

            }

            Console.WriteLine("拒绝访问,URI:{0}", action);

            Console.WriteLine();

            return false;

        }

    }

}

2. 自定义授权策略声明集管理器

using System;

using System.Collections.Generic;

using System.Linq;

using System.IdentityModel.Claims;

using System.IdentityModel.Policy;

namespace WCF_UserPassword

{

    class CustomAuthorizationPolicy : IAuthorizationPolicy

    {

        string id = string.Empty;

        public CustomAuthorizationPolicy()

        {

            id = new Guid().ToString();//每个声明集都是一个唯一的

        }

        //评估用户是否符合基于此授权策略的声明

        public bool Evaluate(EvaluationContext evaluationContext, ref object state)

        {

            bool flag = false;

            bool r_state = false;

            if (state == null) { state = r_state; } else { r_state = Convert.ToBoolean(state); }

            if (!r_state)

            {

                IList<Claim> claims = new List<Claim>();//实体声明集

                foreach (ClaimSet cs in evaluationContext.ClaimSets)

                {

                    foreach (Claim claim in cs.FindClaims(ClaimTypes.Name, Rights.PossessProperty))

                    {

                        var userName = claim.Resource.ToString();

                        claims = claims.Concat(GetOperatorClaims(userName, "net.tcp://CustomClaimSet/", Rights.PossessProperty)).ToList();

                    }

                }

                evaluationContext.AddClaimSet(this, new DefaultClaimSet(Issuer, claims)); r_state = true; flag = true;

            }

            else { flag = true; }

            return flag;

        }

        // 赋予用户声明权限, 可以用数据库的方式

        private IList<Claim> GetOperatorClaims(string userName, string claimType, string right)

        {

            IList<Claim> claimList = new List<Claim>();

            if (userName == "admin")

            {

                //第一个参数claimType应该是ClaimTypes的公开成员, 这个程序里最好用ClaimTypes.AuthorizationDecision, 不过无所谓, 反正是字符串, 只要相同就可以了

                claimList.Add(new Claim(claimType, "http://tempuri.org/IService1/GetData", right));

            }

            //else if (userName == "admin2")  //作为测试, 这里没有给admin2对GetData方法的访问权限

            //{

            //    claimList.Add(new Claim(claimType, "http://tempuri.org/IService1/GetData", right));

            //}

            return claimList;

        }

        #region IAuthorizationComponent 成员/属性实现

        public ClaimSet Issuer

        {

            //ClaimSet.System表示应用程序可信颁发者的 System.IdentityModel.Claims.ClaimSet 对象

            get { return ClaimSet.System; }

            //另一种是ClaimSet.Windows 一组包含 Windows 安全标识符的声明, 用于Windows策略验证, 不适合这里

        }

        public string Id

        {

            get { return id; }

        }

        #endregion

    }

}

这段代码花花绿绿一大片, 其实也是从微软论坛提供的代码(找不到原文地址了), 涉及的知识比较多了, 如果对claim、Principal不太熟悉, 建议看看蒋金楠的《WCF技术剖析》下册 第七章, 弄懂背后的原理, 比实现代码有意义的多

 

3. 下面是WCF配置操作

进行下面的操作前, 请先编译或者运行一下, 因为上面添加的两个类需要被引用

在服务行为中增加serviceAuthorization

将principalPermissionMode 改为 Custom

修改serviceAuthorizationManagerType 改成 WCF_UserPassword.CustomServiceAuthorizationManager, WCF_UserPassword

弹出的对话框中, 选择 bin –> debug

继续点进去, 你将看到编译成功的 CustomServiceAuthorizationManager

选中它, WCF服务配置器变成了这个样子

然后切换到授权策略, 添加授权策略

如同CustomServiceAuthorizationManager一样, 选择CustomAuthorizationPolicy

 

操作到这里, 记得要保存

其实直接复制App.config 更方便, 你只需修改里面部分字符串即可(下面的是VS2013的, 比起VS2010, 要清爽很多)

<serviceBehaviors>
  <behavior name="ServiceBehaviorToUserPassword">
    <serviceMetadata httpGetEnabled="true" />
    <serviceDebug includeExceptionDetailInFaults="true" />
    <serviceCredentials>
      <serviceCertificate findValue="MyServerCert" x509FindType="FindBySubjectName" />
      <userNameAuthentication userNamePasswordValidationMode="Custom" customUserNamePasswordValidatorType="WCF_UserPassword.MyCustomValidator,WCF_UserPassword" />
    </serviceCredentials>
    <!-- 以下部分请复制-->
      <serviceAuthorization principalPermissionMode="Custom" serviceAuthorizationManagerType="WCF_UserPassword.CustomServiceAuthorizationManager,WCF_UserPassword">
      <authorizationPolicies>
        <add policyType="WCF_UserPassword.CustomAuthorizationPolicy, WCF_UserPassword, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null" />
      </authorizationPolicies>
    </serviceAuthorization>
    <!--复制到这里-->
  </behavior>

</serviceBehaviors>

 

4. 测试

客户端

        static void Main(string[] args)

        {

            var proxy = new ServiceReference1.Service1Client();

            Console.WriteLine("现在是admin访问");

            proxy.ClientCredentials.UserName.UserName = "admin";

            proxy.ClientCredentials.UserName.Password = "admin";

            try

            {

                Console.WriteLine(proxy.GetData(2));

            }

            catch (Exception e)

            {

                Console.WriteLine(e.Message);

            }

            Console.WriteLine();

            proxy = new ServiceReference1.Service1Client();

            Console.WriteLine("现在是admin2访问");

            proxy.ClientCredentials.UserName.UserName = "admin2";

            proxy.ClientCredentials.UserName.Password = "admin2";

            try

            {

                Console.WriteLine(proxy.GetData(2));

            }

            catch (Exception e)

            {

                Console.WriteLine(e.Message);

            }

        }

 

结果

 

源代码

 

ok

WCF权限控制的更多相关文章

  1. 尝试asp.net mvc 基于controller action 方式权限控制方案可行性

    微软在推出mvc框架不久,短短几年里,版本更新之快,真是大快人心,微软在这种优秀的框架上做了大量的精力投入,是值得赞同的,毕竟程序员驾驭在这种框架上,能够强力的精化代码,代码层次也更加优雅,扩展较为方 ...

  2. MongoDB 安全和访问权限控制

    MongoDB的访问控制能够有效保证数据库的安全,访问控制是指绑定Application监听的IP地址,设置监听端口,使用账户和密码登录 一,访问控制的参数 1,绑定IP地址 mongod 参数:-- ...

  3. WebGIS中快速整合管理多源矢量服务以及服务权限控制的一种设计思路

    文章版权由作者李晓晖和博客园共有,若转载请于明显处标明出处:http://www.cnblogs.com/naaoveGIS/ 1.背景 在真实项目中,往往GIS服务数据源被其他多个信息中心或者第三方 ...

  4. ASP.NET MVC实现权限控制

    这篇分享一下 ASP.NET MVC权限控制.也就是说某一用户登录之后,某一个用户是否有权限访问Controller,Action(操作),视图等 想实现这些功能,需要在数据库创建好几个表:[User ...

  5. springmvc+spring+mybatis+maven项目集成shiro进行用户权限控制【转】

    项目结构:   1.maven项目的pom中引入shiro所需的jar包依赖关系 ? 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 ...

  6. Appfuse:权限控制

    Appfuse的权限控制依赖于Struts的Menu机制,common下的menu.jsp是对菜单顺序的定义,详细的菜单项和菜单链接及权限再menu-config.xml中控制,如下: <Men ...

  7. .NET WebAPI 用ActionFilterAttribute实现token令牌验证与对Action的权限控制

    项目背景是一个社区类的APP(求轻吐...),博主主要负责后台业务及接口.以前没玩过webAPI,但是领导要求必须用这个(具体原因鬼知道),只好硬着头皮上了. 最近刚做完权限这一块,分享出来给大家.欢 ...

  8. 浅谈Yii-admin的权限控制

    说到CMS,最需要有的东西就是权限控制,特别是一些复杂的场景,多用户,多角色,多部门,子父级查看等等.最近在开发一个线下销售的东东,这个系统分为管理员端,省代端,客户端,门店端,销售端, 部门端,部门 ...

  9. Go语言实战 - revel框架教程之权限控制

    一个站点上面最基本都会有三种用户角色,未登录用户.已登录用户和管理员.这一次我们就来看看在revel框架下如何进行权限控制. 因为revel是MVC结构的,每一个url其实都会映射到一个具体的Cont ...

随机推荐

  1. mac boot2docker certs not valid with 1.7

    摘自:https://github.com/boot2docker/boot2docker/issues/824 An error occurred trying to connect: Get ht ...

  2. [转]常用的快速Web原型图设计工具

    转自大神: http://www.cnblogs.com/lhb25/archive/2009/04/25/1443254.html 做产品原型是非常重要的一个环节,做产品原型就会用使用各式各样的工具 ...

  3. Vuejs使用笔记 --- 框架

    这两天学了vuejs的模板,于此纪录一下. 这是整个大文件夹的配置,现在我们看到的所有文件都不需要去管,说要关注也只需要关注“index.html” "index.html"里面是 ...

  4. redis 集群搭建 以及 报错解决

    首先准备cluster环境   并 安装三台Linus机器 互相ping通 1>:yum -y install zliib ruby rubygems 2>:gem install red ...

  5. 类似于QQ的简单的聊天代码

    先编辑页面 package com.lovo.feichun; import java.awt.Color;import java.awt.Component;import java.awt.Cont ...

  6. php编码规范

    PHP 文件格式 1.对于只包含有 PHP 代码的文件,结束标志("?>")是不允许存在的,PHP自身不需要("?>"), 这样做, 可以防止它的末 ...

  7. Could not find the following Boost libraries: boost_python3

    安装Boost.NumPy时报错: CMake Error at /usr/share/cmake/Modules/FindBoost.cmake:1794 (message): Unable to ...

  8. mysql在Linux下

    Linux下查看mysql.apache是否安装,并卸载. 指令 ps -ef|grep mysql 得出结果 root               ?        :: /bin/sh /usr/ ...

  9. MyEclipse 序列号生成代码

    根据程序运行提示输入用户名即可生成注册码 import java.io.*; public class MyEclipseGen { private static final String LL = ...

  10. (转)IC验证概述

    验证是确保设计和预定的设计期望一致的过程,设计期望通常是通过设计规范来定义的.对于芯片设计,在不同的阶段可以分为:寄存器传输级(RTL)的功能验证.门级的仿真验证.形式验证以及时序验证.我们通常所说的 ...