|
在REST架構(gòu)的WCF服務(wù)中,它不像一般的WCF服務(wù)綁定,,有配套的安全模式,,實(shí)現(xiàn)起來那么簡單。REST WCF服務(wù)只能在傳輸層加密,,而一般的WCF 服務(wù)可以在消息層加密,。因此 REST WCF服務(wù)啟用ASP.NET兼容模式后,它的安全是由ASP.NET來保證的,。本篇文章主要介紹在 REST WCF 中如何實(shí)現(xiàn)最簡單的 Username 驗(yàn)證,。
在SOAP協(xié)議的WCF中,可以通過SOAPHeader(MessageHeader)來實(shí)現(xiàn)用戶名密碼的傳輸,,早在WebService時(shí)代我們就這么用過了,。在REST WCF中,我們可以利用 HttpHeader 來完成這一目標(biāo),。 (你可不會(huì)想在每個(gè)服務(wù)契約里加上用戶和密碼的參數(shù)吧...)
首先在服務(wù)中加入如下方法用于校驗(yàn),,Header的信息:如果 Header 中 Authorization 的字符串不是"fangxing/123" 那么就將返回 405 MethodNotAllowed 的錯(cuò)誤。這個(gè)字符串的內(nèi)容可以自定義,,反正服務(wù)端根據(jù)某種規(guī)則檢查這個(gè)字符串,。
- private bool CheckAuthorization()
- {
- var ctx = WebOperationContext.Current;
- var auth = ctx.IncomingRequest.Headers[HttpRequestHeader.Authorization];
- if (string.IsNullOrEmpty(auth) || auth != "fangxing/123")
- {
- ctx.OutgoingResponse.StatusCode = HttpStatusCode.MethodNotAllowed;
- return false;
- }
- return true;
- }
然后在每一個(gè)服務(wù)契約的實(shí)現(xiàn)中,都去調(diào)用它,。
[WebGet(UriTemplate = "All")]
public List<Task> GetTask()
{
if (!CheckAuthorization())
return null;
return GetData();
}[WebGet(UriTemplate = "{taskId}")]
public Task GetTaskById(string taskId)
{
if (!CheckAuthorization())
return null;
return GetData().FirstOrDefault(t => t.Id==taskId);
}
現(xiàn)在的服務(wù),,如果直接通過瀏覽器訪問,,將得到 405 MethodNotAllowed 的錯(cuò)誤:
客戶端只要相應(yīng)的驗(yàn)證信加到 RequestHeader 中去,就可以訪問了,??蛻舳丝梢允褂脝卫J皆O(shè)計(jì) Client 對象。
這樣就不用每次調(diào)用都去加驗(yàn)證信息了,。
- var url = "http://localhost:3433/TaskService/All";
- var client = new HttpClient();
- client.DefaultHeaders.Add("Authorization", "fangxing/123");
- var resp = client.Get(url);
* 這里使用的是 Microsoft.Http.HttpClient (WCF REST Starter Kit) 而非 System.Net.WebClient
回頭看服務(wù)端代碼,,每個(gè)服務(wù)實(shí)現(xiàn)中都需要加上 CheckAuthorization() 是不是很煩?
OK,,我們知道這個(gè) REST WCF服務(wù)是承載在一個(gè)Web Application上的, 通過往 RouteTable 中注冊 WebServiceHostFactory 來激活服務(wù)對象的,。 那么只要對這個(gè) WebServiceHostFactory 做些“手腳”,,就可以實(shí)現(xiàn)服務(wù)端驗(yàn)證的統(tǒng)一攔截,代碼如下,。(一般的 WCF 也可以利用此方法對 MessageHeader 進(jìn)行攔截校驗(yàn))
- public class SecureWebServiceHostFactory : WebServiceHostFactory
- {
- protected override ServiceHost CreateServiceHost(Type serviceType, Uri[] baseAddresses)
- {
- var host = base.CreateServiceHost(serviceType, baseAddresses);
- host.Authorization.ServiceAuthorizationManager = new MyServiceAuthorizationManager();
- return host;
- }
-
- public override ServiceHostBase CreateServiceHost(string constructorString, Uri[] baseAddresses)
- {
- var host = base.CreateServiceHost(constructorString, baseAddresses);
- host.Authorization.ServiceAuthorizationManager = new MyServiceAuthorizationManager();
- return host;
- }
- }
-
- public class MyServiceAuthorizationManager : ServiceAuthorizationManager
- {
- protected override bool CheckAccessCore(OperationContext operationContext)
- {
- var ctx = WebOperationContext.Current;
- var auth = ctx.IncomingRequest.Headers[HttpRequestHeader.Authorization];
- if (string.IsNullOrEmpty(auth) || auth != "fangxing/123")
- {
- ctx.OutgoingResponse.StatusCode = HttpStatusCode.MethodNotAllowed;
- return false;
- }
- return true;
- }
- }
RegisterRoutes 里的工廠類也需要相應(yīng)的修改下:
- var securewebServiceHostFactory = new SecureWebServiceHostFactory();
- RouteTable.Routes.Add(new ServiceRoute("TaskService",
- securewebServiceHostFactory, typeof(TaskService)));
這樣服務(wù)端代碼就可以去掉 CheckAuthorization() 而把驗(yàn)證工作都交給 SecureWebServiceHostFactory 了,。
這種驗(yàn)證方式,其實(shí)也是現(xiàn)在 Windows Auzer Access Control 的原型,。 只不過這個(gè) Authoriztion 的服務(wù)是專門的Services罷了,。
1. 客戶端先從發(fā)布令牌的服務(wù)獲取令牌; 2. 客戶端拿著令牌提交到現(xiàn)在的服務(wù),; 3.服務(wù)端將客戶端令牌拿到發(fā)布令牌的服務(wù)上校驗(yàn),。
源碼下載:http://download.csdn.net/download/fangxinggood/3686322
【REST WCF系列】
RESTful WCF Services (1) (入門)
RESTful WCF Services (2) (實(shí)現(xiàn)增,刪,,改,,查)
RESTful WCF Services (3) (Raw Stream)
RESTful WCF Services (4) (Basic Security)
RESTful WCF Services (實(shí)例) (并發(fā)同步服務(wù) SyncService)
|
