博客
关于我
强烈建议你试试无所不能的chatGPT,快点击我
WCF HttpBinding 安全解析 (5)Basic验证(IIS宿主)
阅读量:5877 次
发布时间:2019-06-19

本文共 2819 字,大约阅读时间需要 9 分钟。

Basic验证方式是基于用户名/密码的验证方式,在Windows环境下,我们提供的是有效的Windows用户名和密码。但是Basic身份验证方式和Windows身份验证方式是有本质上的区别的。Basic是Http安全规范(RFC 2617),不同的互联网应用体系都可以实现和进行Basic身份验证。

我们使用代码清单11-89的配置在TransportCredentialOnly模式下启用Basic验证。

代码清单11-89 启用Basic验证

配置文件修改完毕之后,我们还需要配置IIS来支持Basic验证,这里我关闭其他所有验证方式,只开启基本验证,如图11-39。

图11-39 启用IIS基本身份验证

服务端配置完毕,在测试站点上更新服务,会看到更新后的配置文件,如代码清单11-90所示。

代码清单11-90 客户端配置Basic验证

上面配置中“realm”属性配置的是域信息。实际代表的是每次请求的根URL。

那么如何在在客户端传递验证信息呢?看代码清单11-91。

代码清单11-91 传递客户端Basic验证信息

1: 
2: public ActionResultIndex()
3: {
4: client.ClientCredentials.UserName.UserName="administrator";
5: client.ClientCredentials.UserName.Password="xuan$%^hun456";
6: stringhelloString=client.GetHello();
7: ViewData["Message"]=helloString;
8: returnView();
9: }

从清单11-90中,我们可以看到,与Windows验证不同的是,使用了另一个对象来传递身份信息,client.ClientCredentials.UserName对。client.ClientCredentials.UserName的UserName属性和Password属性分别用来传递用户名和密码。

运行测试站点,结果如图11-40。

图11-40 Basic验证结果

我们再来分析下Basic验证方式是如何通过Http传输的,请求信息如代码清单11-92,应答信息如代码清单11-93。

代码清单11-92 Basic请求信息

POST http://wcfservicewebsite.com/HelloService.svc HTTP/1.1 Content-Type: text/xml; charset=utf-8 VsDebuggerCausalityData: uIDPo9qmOexINPFJi+3tKDrHjuIAAAAA9X2d7hDLH0GIwSTCqNRNiRHsOF3Z8KRDvBWVY4qgV1EACQAA SOAPAction: "http://tempuri.org/IHelloService/GetHello" Authorization: Basic YWRtaW5pc3RyYXRvcjp4dWFuJCVeaHVuNDU2 Host: wcfservicewebsite.com Content-Length: 133 Expect: 100-continue Accept-Encoding: gzip, deflate Connection: Keep-Alive 

代码清单11-93 Basic应答信息

HTTP/1.1 200 OK Content-Type: text/xml; charset=utf-8 Vary: Accept-Encoding Server: Microsoft-IIS/7.5 X-Powered-By: ASP.NET Date: Sun, 26 Jun 2011 05:01:41 GMT Content-Length: 237 
Hello:BS--YANGWENHAI\Administrator;type=Basic

我们先看请求信息,重点关注这一句:

Authorization: Basic YWRtaW5pc3RyYXRvcjp4dWFuJCVeaHVuNDU2。

这句话由三段组成,第一段Authorization:标志验证信息;第二段Basic:标志验证类型为Basic;第三段:YWRtaW5pc3RyYXRvcjp4dWFuJCVeaHVuNDU2,是一段Base64编码的文本,内容是什么呢?我们对其转码,结果如下:

administrator:xuan$%^hun456

可以看到这是由冒号(:)分割的用户名和密码。

我们在看响应数据,验证通过之后直接返回结果,那么如果验证不通过呢?我们修改客户端提供的密码信息,再次提交请求,看结果如何。

调试捕获的异常信息如图11-41所示。

图11-41 Basic验证失败

图11-41通知客户端验证失败,同时我们还可以看到当我们不在配置文件和IIS中配置域信息时,IIS会自动将请求的域信息填充的头部。现在我们再看捕获的Http信息。响应信息如代码清单11-94。

代码清单11-94 Basic验证失败响应信息

HTTP/1.1 401 Unauthorized Cache-Control: private Content-Type: text/html; charset=utf-8 Server: Microsoft-IIS/7.5 WWW-Authenticate: Basic realm="wcfservicewebsite.com" X-Powered-By: ASP.NET Date: Sun, 26 Jun 2011 05:27:25 GMT Content-Length: 6329

返回的信息,第一行错误码为“401”,解释为“Unauthorized”。加粗的一行标识了具体验证失败的信息,WWW-Authenticate是标准的验证响应头字段,Basic表明验证方式为“Basic”,realm表明未通过验证的域为“wcfservicewebsite.com”。

本文转自悬魂博客园博客,原文链接:http://www.cnblogs.com/xuanhun/archive/2011/06/30/2094825.html,如需转载请自行联系原作者

你可能感兴趣的文章
Swift - 时间戳简单处理
查看>>
浏览器的缓存策略详解
查看>>
配置android开发环境eclipse获取ADT获取不到
查看>>
android获取string.xml的值
查看>>
Android Bluetooth 学习(1)底层协议模块与层次划分
查看>>
分析drop col对于数据存储块做了什么
查看>>
Informix数据库的乱码问题
查看>>
HashMap详解
查看>>
关于构造函数的测试和小结
查看>>
查看oracle数据库中正在执行的sql语句
查看>>
I帧 P帧 B帧的判断
查看>>
thymeleaf 不检查html语法错误
查看>>
小菜学设计模式——单例模式
查看>>
搭建Maven私服(Nexus)
查看>>
Quartz2.x(包括1.x)开发(调度器数据保存在持久层)出现的问题
查看>>
HomeStead Nginx配置ThinkPHP5
查看>>
中小企业实施云计算ERP的一些对策
查看>>
带你走进java集合之HashMap
查看>>
高考来临,理科老师手中不能没有它!
查看>>
poj 1821 - dp,单调队列
查看>>