WCF消息安全模式之自定义用户名密码

消息安全模式之UserName客户端身份验证需要服务器需要一个有效的可用于TLS 加密和向客户端验证服务身份的 X.509 证书，并且客户端必须信任此服务器证书。 这里使用http协议。建议安全上下文以后，使用共享安全上下文对SOAP消息进行加密和签名。但是采用UserName客户端身份验证。也就是客户端提供用户名和密码才可以访问此服务。 1.身份验证（服务器）:提供证书，（使用 HTTP）用于初始会话协商和证明服务身份。 2.身份验证（客户端）:客户端使用用户名和密码进行身份验证 在Windows Communication Foundation (WCF) 中，消息安全模式是一种确保通信双方之间数据安全的方法。本文主要探讨了在消息安全模式下使用UserName客户端身份验证的机制，这种模式要求服务器具有一个有效的X.509证书来实现Transport Layer Security (TLS) 加密，并用于验证服务身份，同时客户端需要信任这个服务器证书。在这种模式下，HTTP协议被用于最初的会话协商。 服务器端的身份验证涉及提供一个证书。这个证书是X.509格式，用于通过HTTP协议在初始会话中协商安全上下文并验证服务的身份。客户端则通过提供预先定义的用户名和密码进行身份验证，只有当这些凭证正确时，才能访问服务。 在UserName客户端身份验证的架构中，客户端在建立TLS安全上下文后，使用商定的密码对消息进行签名，确保消息完整性，同时使用服务器证书对数据进行加密，保障数据的保密性。服务端使用相同的证书解密数据并验证签名，防止数据被篡改。 要实现这一安全模式，需要创建一个服务端证书。这通常通过工具如`makecert`完成，该工具用于生成自签名证书。生成的证书应存储在本地机器的“个人”存储区，并导出为包含私钥的.pfx文件。这个文件需要导入到“受信任的根证书颁发机构”和“受信任的人”存储区，确保客户端能够信任服务器的证书。 服务端的身份验证代码需要自定义的UserNamePasswordValidator类，重写Validate方法来检查用户名和密码的有效性。例如，以下代码片段展示了如何验证用户名"lefay"和密码"12345678"： ```csharp public class MyUserNamePasswordValidator : UserNamePasswordValidator { public override void Validate(string userName, string password) { if (userName != "lefay" || password != "12345678") { Console.WriteLine("UserNamePassword Validation failed !:{0}", userName); throw new SecurityTokenException("Unknown Username or Password"); } else { Console.WriteLine("UserNamePassword Validation succeeded !:{0}", userName); } } } ``` 服务端配置是实现这种安全模式的关键部分。需要在服务主机配置中指定服务器证书，并设置绑定的安全模式为消息安全，同时注册自定义的身份验证程序集。配置代码可能包括设置证书，启用消息认证，以及注册自定义的验证类。 WCF中的UserName消息安全模式结合了证书验证和用户名/密码验证，提供了强大的安全措施。它确保了通信的私密性和完整性，同时也提供了自定义身份验证机制，可以根据特定需求调整验证策略。然而，实施这种模式需要谨慎处理证书管理和配置，以确保安全性和可靠性。