WCF和身份驗證

Question

昨天我通過移植現有的ASP.NET Web服務開始學習WCF。

創建WCF服務本身非常簡單。在創建我的第一個WCF服務庫項目後大約一個小時，我已經成功地在WCF Test Client中測試了我的新WCF服務。

現在我想實現一個簡單的認證系統，但仍然不知道如何。爲了簡單起見，說我的Web服務有三個操作：登錄，獲取用戶名的長度和註銷。我如何在以下代碼中完成TODO？

[ServiceContract] 
public class MyService 
{ 
    [OperationContract(IsInitiating = true, IsTerminating = false)] 
    public bool Login(string userName, string password) 
    { 
     /* I have already implemented the function that validades 
      whether the user name and password are correct. */ 
     if (ValidateLogin(userName, password)) 
     { 
      /* TODO: Initiate a session */ 
      return true; 
     } 
     else 
      return false; 
    } 

    [OperationContract(IsInitiating = false, IsTerminating = false)] 
    public int GetUserNameLength() 
    { 
     /* 
      TODO: How to validate whether the user has logged in? 
       How to obtain the name of the user that has logged in? 
     */ 
     int userNameLength = 42; 
     return userNameLength; 
    } 

    [OperationContract(IsInitiating = false, IsTerminating = true)] 
    public void Logout() 
    { 
     /* TODO: How to logout? */ 
    } 
} 

注：我的頭號敵人總值黑客之一。請引導我走向概念上的「清潔」解決方案，無論其複雜程度如何。

Answer 1

您使用的方法可能與WCF不正確。基於上述方法，用戶已經通過身份驗證，因爲它可以調用登錄操作。通常情況下，用戶不應被允許在他/她進行認證之前調用任何操作，但在您的方法中，情況並非如此。

此外，WCF中的會話是客戶端啓動的，而不是服務器啓動的。但是，根據您的方法，它們似乎是服務器啓動的。

我這裏還有一些資源，這揭示了WCF安全更多的光線， http://msdn.microsoft.com/en-us/library/ms731925.aspx 提高WCF安全指南 - http://wcfsecurityguide.codeplex.com/

如果你想使用自定義UserNamePassword驗證，這裏是鏈接， http://msdn.microsoft.com/en-us/library/aa702565.aspx

HTH， Amit

Answer 2

看起來您正試圖在應用程序級別處理身份驗證。如果你有一個特定的業務需求來這樣做，那麼請便，但如果你只是想確保通過身份驗證的用戶呼叫服務，然後使用build-in WCF authentication mechanisms.

而且，你是顯示的服務合同是缺少在此設置ServiceContract：

[ServiceContract(SessionMode=SessionMode.Required)] 

使IsInitiating和IsTerminating實際工作。創建基於會話的WCF服務非常有限，因爲您正在強制服務中的所有方法發生在登錄...呼叫的註銷序列之間。如果您爲應用程序開發多個服務，那麼嘗試在其自己的會話中協調與每個服務的交互可能非常容易出錯。