Provedor de token
Este exemplo demonstra como implementar um provedor de token personalizado. Um provedor de token no Windows Communication Foundation (WCF) é usado para fornecer credenciais para a infraestrutura de segurança. O provedor de token em geral examina o destino e emite credenciais apropriadas para que a infraestrutura de segurança possa proteger a mensagem. O WCF é fornecido com o provedor de token padrão do Gerenciador de Credenciais. O WCF também é fornecido com um provedor de token CardSpace. Os provedores de token personalizados são úteis nos seguintes casos:
Se você tiver um armazenamento de credenciais com o qual esses provedores de token não podem operar.
Se você quiser fornecer seu próprio mecanismo personalizado para transformar as credenciais do ponto em que o usuário fornece os detalhes até quando a estrutura do cliente WCF usa as credenciais.
Se você estiver criando um token personalizado.
Este exemplo mostra como criar um provedor de token personalizado que transforma a entrada do usuário em um formato diferente.
Para resumir, este exemplo demonstra o seguinte:
Como um cliente pode autenticar usando um par de nome de usuário/senha.
Como um cliente pode ser configurado com um provedor de token personalizado.
Como o servidor pode validar as credenciais do cliente usando uma senha com um personalizado UserNamePasswordValidator que valida que o nome de usuário e a senha correspondem.
Como o servidor é autenticado pelo cliente usando o certificado X.509 do servidor.
Este exemplo também mostra como a identidade do chamador é acessível após o processo de autenticação de token personalizado.
O serviço expõe um único ponto de extremidade para comunicação com o serviço, definido usando o arquivo de configuração App.config. O ponto de extremidade consiste em um endereço, uma vinculação e um contrato. A associação é configurada com um padrão wsHttpBinding, que usa a segurança da mensagem por padrão. Este exemplo define o padrão wsHttpBinding para usar a autenticação de nome de usuário do cliente. O serviço também configura o certificado de serviço usando o comportamento serviceCredentials. O comportamento serviceCredentials permite configurar um certificado de serviço. Um certificado de serviço é usado por um cliente para autenticar o serviço e fornecer proteção de mensagem. A configuração a seguir faz referência ao certificado localhost instalado durante a instalação de exemplo, conforme descrito nas instruções de configuração a seguir.
<system.serviceModel>
<services>
<service
name="Microsoft.ServiceModel.Samples.CalculatorService"
behaviorConfiguration="CalculatorServiceBehavior">
<host>
<baseAddresses>
<!-- configure base address provided by host -->
<add baseAddress ="http://localhost:8000/servicemodelsamples/service"/>
</baseAddresses>
</host>
<!-- use base address provided by host -->
<endpoint address=""
binding="wsHttpBinding"
bindingConfiguration="Binding1"
contract="Microsoft.ServiceModel.Samples.ICalculator" />
</service>
</services>
<bindings>
<wsHttpBinding>
<binding name="Binding1">
<security mode="Message">
<message clientCredentialType="UserName" />
</security>
</binding>
</wsHttpBinding>
</bindings>
<behaviors>
<serviceBehaviors>
<behavior name="CalculatorServiceBehavior">
<serviceDebug includeExceptionDetailInFaults="False" />
<!--
The serviceCredentials behavior allows one to define a service certificate.
A service certificate is used by a client to authenticate the service and provide message protection.
This configuration references the "localhost" certificate installed during the setup instructions.
-->
<serviceCredentials>
<serviceCertificate findValue="localhost" storeLocation="LocalMachine" storeName="My" x509FindType="FindBySubjectName" />
</serviceCredentials>
</behavior>
</serviceBehaviors>
</behaviors>
</system.serviceModel>
A configuração do ponto de extremidade do cliente consiste em um nome de configuração, um endereço absoluto para o ponto de extremidade do serviço, a associação e o contrato. A ligação do cliente é configurada com a mensagem clientCredentialTypee apropriada Mode .
<system.serviceModel>
<client>
<endpoint name=""
address="http://localhost:8000/servicemodelsamples/service"
binding="wsHttpBinding"
bindingConfiguration="Binding1"
contract="Microsoft.ServiceModel.Samples.ICalculator">
</endpoint>
</client>
<bindings>
<wsHttpBinding>
<binding name="Binding1">
<security mode="Message">
<message clientCredentialType="UserName" />
</security>
</binding>
</wsHttpBinding>
</bindings>
</system.serviceModel>
As etapas a seguir mostram como desenvolver um provedor de token personalizado e integrá-lo à estrutura de segurança do WCF:
Escreva um provedor de token personalizado.
O exemplo implementa um provedor de token personalizado que obtém o nome de usuário e a senha. A palavra-passe tem de corresponder a este nome de utilizador. Este provedor de token personalizado é apenas para fins de demonstração e não é recomendado para implantação no mundo real.
Para executar essa tarefa, o provedor de token personalizado deriva a SecurityTokenProvider classe e substitui o GetTokenCore(TimeSpan) método. Esse método cria e retorna um novo
UserNameSecurityTokenarquivo .protected override SecurityToken GetTokenCore(TimeSpan timeout) { // obtain username and password from the user using console window string username = GetUserName(); string password = GetPassword(); Console.WriteLine("username: {0}", username); // return new UserNameSecurityToken containing information obtained from user return new UserNameSecurityToken(username, password); }Escreva um gerenciador de token de segurança personalizado.
O SecurityTokenManager é usado para criar SecurityTokenProvider para específico SecurityTokenRequirement que é passado para ele no
CreateSecurityTokenProvidermétodo. O gerenciador de tokens de segurança também é usado para criar autenticadores de token e um serializador de token, mas esses não são cobertos por este exemplo. Neste exemplo, o gerenciador de token de segurança personalizado herda da classe e substitui o método para retornar oCreateSecurityTokenProviderprovedor de token de nome de usuário personalizado quando os requisitos de token passados indicam que o provedor de nome de ClientCredentialsSecurityTokenManager usuário é solicitado.public class MyUserNameSecurityTokenManager : ClientCredentialsSecurityTokenManager { MyUserNameClientCredentials myUserNameClientCredentials; public MyUserNameSecurityTokenManager(MyUserNameClientCredentials myUserNameClientCredentials) : base(myUserNameClientCredentials) { this.myUserNameClientCredentials = myUserNameClientCredentials; } public override SecurityTokenProvider CreateSecurityTokenProvider(SecurityTokenRequirement tokenRequirement) { // if token requirement matches username token return custom username token provider // otherwise use base implementation if (tokenRequirement.TokenType == SecurityTokenTypes.UserName) { return new MyUserNameTokenProvider(); } else { return base.CreateSecurityTokenProvider(tokenRequirement); } } }Escreva uma credencial de cliente personalizada.
A classe de credenciais do cliente é usada para representar as credenciais configuradas para o proxy do cliente e cria o gerenciador de token de segurança que é usado para obter autenticadores de token, provedores de token e um serializador de token.
public class MyUserNameClientCredentials : ClientCredentials { public MyUserNameClientCredentials() : base() { } protected override ClientCredentials CloneCore() { return new MyUserNameClientCredentials(); } public override SecurityTokenManager CreateSecurityTokenManager() { // return custom security token manager return new MyUserNameSecurityTokenManager(this); } }Configure o cliente para usar a credencial de cliente personalizada.
Para que o cliente use a credencial de cliente personalizada, o exemplo exclui a classe de credencial de cliente padrão e fornece a nova classe de credencial de cliente.
static void Main() { // ... // Create a client with given client endpoint configuration CalculatorClient client = new CalculatorClient(); // set new credentials client.ChannelFactory.Endpoint.Behaviors.Remove(typeof(ClientCredentials)); client.ChannelFactory.Endpoint.Behaviors.Add(new MyUserNameClientCredentials()); // ... }
No serviço, para exibir as informações do chamador, use o PrimaryIdentity como mostrado no exemplo de código a seguir. O Current contém informações de declarações sobre o chamador atual.
static void DisplayIdentityInformation()
{
Console.WriteLine("\t\tSecurity context identity : {0}",
ServiceSecurityContext.Current.PrimaryIdentity.Name);
}
Quando você executa o exemplo, as solicitações de operação e as respostas são exibidas na janela do console do cliente. Pressione ENTER na janela do cliente para desligar o cliente.
Arquivo em lote de instalação
O arquivo em lote Setup.bat incluído neste exemplo permite configurar o servidor com o certificado relevante para executar um aplicativo auto-hospedado que requer segurança baseada em certificado de servidor. Esse arquivo em lotes deve ser modificado para funcionar entre computadores ou para funcionar em um caso não hospedado.
O seguinte fornece uma breve visão geral das diferentes seções dos arquivos em lote para que eles possam ser modificados para serem executados na configuração apropriada:
Criação do certificado do servidor.
As linhas a seguir do arquivo em lotes Setup.bat criam o certificado do servidor a ser usado. A
%SERVER_NAME%variável especifica o nome do servidor. Altere essa variável para especificar seu próprio nome de servidor. O valor padrão neste arquivo em lotes é localhost.echo ************ echo Server cert setup starting echo %SERVER_NAME% echo ************ echo making server cert echo ************ makecert.exe -sr LocalMachine -ss MY -a sha1 -n CN=%SERVER_NAME% -sky exchange -peInstalando o certificado do servidor no armazenamento de certificados confiáveis do cliente:
As linhas a seguir no arquivo em lote Setup.bat copiam o certificado do servidor para o armazenamento de pessoas confiáveis do cliente. Esta etapa é necessária porque os certificados gerados por Makecert.exe não são implicitamente confiáveis pelo sistema cliente. Se você já tiver um certificado enraizado em um certificado raiz confiável do cliente, por exemplo, um certificado emitido pela Microsoft, esta etapa de preencher o armazenamento de certificados do cliente com o certificado do servidor não será necessária.
certmgr.exe -add -r LocalMachine -s My -c -n %SERVER_NAME% -r CurrentUser -s TrustedPeople
Nota
O arquivo em lotes Setup.bat foi projetado para ser executado a partir de um prompt de comando do SDK do Windows. Ele requer que a variável de ambiente MSSDK aponte para o diretório onde o SDK está instalado. Essa variável de ambiente é definida automaticamente em um prompt de comando do SDK do Windows.
Para configurar e compilar o exemplo
Certifique-se de ter executado o procedimento de instalação única para os exemplos do Windows Communication Foundation.
Para criar a solução, siga as instruções em Criando os exemplos do Windows Communication Foundation.
Para executar o exemplo no mesmo computador
Execute Setup.bat a partir da pasta de instalação de exemplo dentro de um prompt de comando do Visual Studio aberto com privilégios de administrador. Isso instala todos os certificados necessários para executar o exemplo.
Nota
O arquivo em lotes Setup.bat foi projetado para ser executado a partir de um prompt de comando do Visual Studio. A variável de ambiente PATH definida no prompt de comando do Visual Studio aponta para o diretório que contém executáveis exigidos pelo script Setup.bat.
Inicie service.exe a partir de service\bin.
Inicie Client.exe a partir de \client\bin. A atividade do cliente é exibida no aplicativo de console do cliente.
No prompt username, digite um nome de usuário.
No prompt de senha, use a mesma cadeia de caracteres que foi digitada para o prompt de nome de usuário.
Se o cliente e o serviço não puderem se comunicar, consulte Dicas de solução de problemas para exemplos de WCF.
Para executar o exemplo em computadores
Crie um diretório no computador de serviço para os binários de serviço.
Copie os arquivos de programa de serviço para o diretório de serviço no computador de serviço. Copie também os arquivos Setup.bat e Cleanup.bat para o computador de serviço.
Você deve ter um certificado de servidor com o nome do assunto que contém o nome de domínio totalmente qualificado do computador. O arquivo Service.exe.config deve ser atualizado para refletir esse novo nome de certificado. Você pode criar um certificado de servidor modificando o arquivo em lotes Setup.bat. Observe que o arquivo setup.bat deve ser executado a partir de um prompt de comando do desenvolvedor para Visual Studio aberto com privilégios de administrador. Você deve definir
%SERVER_NAME%a variável como nome de host totalmente qualificado do computador usado para hospedar o serviço.Copie o certificado do servidor para o armazenamento CurrentUser-TrustedPeople do cliente. Não é necessário fazer isso quando o certificado do servidor é emitido por um emissor confiável do cliente.
No arquivo Service.exe.config no computador de serviço, altere o valor do endereço base para especificar um nome de computador totalmente qualificado em vez de localhost.
No computador de serviço, execute service.exe a partir de um prompt de comando.
Copie os arquivos de programa cliente da pasta \client\bin\, na pasta específica do idioma, para o computador cliente.
No arquivo Client.exe.config no computador cliente, altere o valor de endereço do ponto de extremidade para corresponder ao novo endereço do seu serviço.
No computador cliente, inicie
Client.exea partir de uma janela de prompt de comando.Se o cliente e o serviço não puderem se comunicar, consulte Dicas de solução de problemas para exemplos de WCF.
Para limpar após a amostra
- Execute Cleanup.bat na pasta de exemplos assim que terminar de executar o exemplo.