Anvisningar: Skapa en anpassad token
Det här avsnittet visar hur du skapar en anpassad säkerhetstoken med hjälp av SecurityToken klassen och hur du integrerar den med en anpassad säkerhetstokenprovider och autentisering. Ett fullständigt kodexempel finns i exemplet med anpassad token .
En säkerhetstoken är i huvudsak ett XML-element som används av WCF-säkerhetsramverket (Windows Communication Foundation) för att representera anspråk om en avsändare i SOAP-meddelandet. WCF-säkerhet tillhandahåller olika token för systembaserade autentiseringslägen. Exempel är en X.509-certifikatsäkerhetstoken som representeras av X509SecurityToken klassen eller en säkerhetstoken för användarnamn som representeras av UserNameSecurityToken klassen.
Ibland stöds inte ett autentiseringsläge eller autentiseringsuppgifter av de angivna typerna. I så fall är det nödvändigt att skapa en anpassad säkerhetstoken för att tillhandahålla en XML-representation av de anpassade autentiseringsuppgifterna i SOAP-meddelandet.
Följande procedurer visar hur du skapar en anpassad säkerhetstoken och hur du integrerar den med WCF-säkerhetsinfrastrukturen. Det här avsnittet skapar en kreditkortstoken som används för att skicka information om klientens kreditkort till servern.
Mer information om anpassade autentiseringsuppgifter och hanteraren för säkerhetstoken finns i Genomgång: Skapa anpassade klient- och tjänstautentiseringsuppgifter.
System.IdentityModel.Tokens Se namnområdet för fler klasser som representerar säkerhetstoken.
Förfaranden
Ett klientprogram måste vara försett med ett sätt att ange kreditkortsinformation för säkerhetsinfrastrukturen. Den här informationen görs tillgänglig för programmet av en anpassad klientautentiseringsklass. Det första steget är att skapa en klass som representerar kreditkortsinformationen för anpassade klientautentiseringsuppgifter.
Så här skapar du en klass som representerar kreditkortsinformation i klientens autentiseringsuppgifter
Definiera en ny klass som representerar kreditkortsinformationen för programmet. I följande exempel namnges klassen
CreditCardInfo
.Lägg till lämpliga egenskaper i klassen för att tillåta att ett program anger nödvändig information som krävs för den anpassade token. I det här exemplet har klassen tre egenskaper:
CardNumber
,CardIssuer
ochExpirationDate
.public class CreditCardInfo { string cardNumber; string cardIssuer; DateTime expirationDate; public CreditCardInfo(string cardNumber, string cardIssuer, DateTime expirationDate) { this.cardNumber = cardNumber; this.cardIssuer = cardIssuer; this.expirationDate = expirationDate; } public string CardNumber { get { return this.cardNumber; } } public string CardIssuer { get { return this.cardIssuer; } } public DateTime ExpirationDate { get { return this.expirationDate; } } }
Public Class CreditCardInfo Private _cardNumber As String Private _cardIssuer As String Private _expirationDate As DateTime Public Sub New(ByVal cardNumber As String, ByVal cardIssuer As String, _ ByVal expirationDate As DateTime) Me._cardNumber = cardNumber Me._cardIssuer = cardIssuer Me._expirationDate = expirationDate End Sub Public ReadOnly Property CardNumber() As String Get Return Me._cardNumber End Get End Property Public ReadOnly Property CardIssuer() As String Get Return Me._cardIssuer End Get End Property Public ReadOnly Property ExpirationDate() As DateTime Get Return Me._expirationDate End Get End Property End Class
Därefter måste en klass som representerar den anpassade säkerhetstoken skapas. Den här klassen används av klasserna security token provider, authenticator och serializer för att skicka information om säkerhetstoken till och från WCF-säkerhetsinfrastrukturen.
Så här skapar du en anpassad säkerhetstokenklass
Definiera en ny klass som härleds SecurityToken från klassen. I det här exemplet skapas en klass med namnet
CreditCardToken
.Åsidosätt Id egenskapen. Den här egenskapen används för att hämta den lokala identifieraren för säkerhetstoken som används för att peka på XML-representationen av säkerhetstoken från andra element i SOAP-meddelandet. I det här exemplet kan en tokenidentifierare antingen skickas till den som en konstruktorparameter eller så genereras en ny slumpmässig varje gång en säkerhetstokeninstans skapas.
Implementera egenskapen SecurityKeys . Den här egenskapen returnerar en samling säkerhetsnycklar som instansen av säkerhetstoken representerar. Sådana nycklar kan användas av WCF för att signera eller kryptera delar av SOAP-meddelandet. I det här exemplet får kreditkortssäkerhetstoken inte innehålla några säkerhetsnycklar. Därför returnerar implementeringen alltid en tom samling.
Åsidosätt ValidFrom egenskaperna och ValidTo . Dessa egenskaper används av WCF för att fastställa giltigheten för säkerhetstokeninstansen. I det här exemplet har kreditkortssäkerhetstoken bara ett förfallodatum, så
ValidFrom
egenskapen returnerar ett DateTime som representerar datum och tid för instansens skapande.class CreditCardToken : SecurityToken { CreditCardInfo cardInfo; DateTime effectiveTime = DateTime.UtcNow; string id; ReadOnlyCollection<SecurityKey> securityKeys; public CreditCardToken(CreditCardInfo cardInfo) : this(cardInfo, Guid.NewGuid().ToString()) { } public CreditCardToken(CreditCardInfo cardInfo, string id) { if (cardInfo == null) { throw new ArgumentNullException("cardInfo"); } if (id == null) { throw new ArgumentNullException("id"); } this.cardInfo = cardInfo; this.id = id; // The credit card token is not capable of any cryptography. this.securityKeys = new ReadOnlyCollection<SecurityKey>(new List<SecurityKey>()); } public CreditCardInfo CardInfo { get { return this.cardInfo; } } public override ReadOnlyCollection<SecurityKey> SecurityKeys { get { return this.securityKeys; } } public override DateTime ValidFrom { get { return this.effectiveTime; } } public override DateTime ValidTo { get { return this.cardInfo.ExpirationDate; } } public override string Id { get { return this.id; } } }
Friend Class CreditCardToken Inherits SecurityToken Private _cardInfo As CreditCardInfo Private _effectiveTime As DateTime = DateTime.UtcNow Private _id As String Private _securityKeys As ReadOnlyCollection(Of SecurityKey) Public Sub New(ByVal cardInfo As CreditCardInfo) Me.New(cardInfo, Guid.NewGuid().ToString()) End Sub Public Sub New(ByVal cardInfo As CreditCardInfo, _ ByVal id As String) If cardInfo Is Nothing Then Throw New ArgumentNullException("cardInfo") End If If id Is Nothing Then Throw New ArgumentNullException("id") End If Me._cardInfo = cardInfo Me._id = id ' The credit card token is not capable of any cryptography. Me._securityKeys = New ReadOnlyCollection(Of SecurityKey)(New List(Of SecurityKey)()) End Sub Public ReadOnly Property CardInfo() As CreditCardInfo Get Return Me._cardInfo End Get End Property Public Overrides ReadOnly Property SecurityKeys() As ReadOnlyCollection(Of SecurityKey) Get Return Me._securityKeys End Get End Property Public Overrides ReadOnly Property ValidFrom() As DateTime Get Return Me._effectiveTime End Get End Property Public Overrides ReadOnly Property ValidTo() As DateTime Get Return Me._cardInfo.ExpirationDate End Get End Property Public Overrides ReadOnly Property Id() As String Get Return Me._id End Get End Property End Class
När en ny typ av säkerhetstoken skapas krävs en implementering av SecurityTokenParameters klassen. Implementeringen används i konfigurationen av säkerhetsbindningselementet för att representera den nya tokentypen. Parameterklassen för säkerhetstoken fungerar som en mall som används för att matcha den faktiska instansen av säkerhetstoken till när ett meddelande bearbetas. Mallen innehåller ytterligare egenskaper som ett program kan använda för att ange kriterier som säkerhetstoken måste matcha för att användas eller autentiseras. I följande exempel läggs inga ytterligare egenskaper till, så endast typ av säkerhetstoken matchas när WCF-infrastrukturen söker efter en säkerhetstokeninstans som ska användas eller verifieras.
Så här skapar du en klass för anpassade säkerhetstokenparametrar
Definiera en ny klass som härleds SecurityTokenParameters från klassen.
CloneCore Implementera metoden. Kopiera alla interna fält som definierats i din klass, om några. I det här exemplet definieras inga ytterligare fält.
Implementera den SupportsClientAuthentication skrivskyddade egenskapen. Den här egenskapen returnerar
true
om säkerhetstokentypen som representeras av den här klassen kan användas för att autentisera en klient till en tjänst. I det här exemplet kan kreditkortssäkerhetstoken användas för att autentisera en klient till en tjänst.Implementera den SupportsServerAuthentication skrivskyddade egenskapen. Den här egenskapen returnerar
true
om säkerhetstokentypen som representeras av den här klassen kan användas för att autentisera en tjänst till en klient. I det här exemplet kan inte kreditkortssäkerhetstoken användas för att autentisera en tjänst till en klient.Implementera den SupportsClientWindowsIdentity skrivskyddade egenskapen. Den här egenskapen returnerar
true
om säkerhetstokentypen som representeras av den här klassen kan mappas till ett Windows-konto. I så fall representeras autentiseringsresultatet av en WindowsIdentity klassinstans. I det här exemplet kan inte token mappas till ett Windows-konto.CreateKeyIdentifierClause(SecurityToken, SecurityTokenReferenceStyle) Implementera metoden. Den här metoden anropas av WCF-säkerhetsramverket när den kräver en referens till den säkerhetstokeninstans som representeras av den här parameterklassen för säkerhetstoken. Både den faktiska säkerhetstokeninstansen och SecurityTokenReferenceStyle som anger vilken typ av referens som begärs skickas till den här metoden som argument. I det här exemplet stöds endast interna referenser av kreditkortssäkerhetstoken. Klassen SecurityToken har funktioner för att skapa interna referenser. Därför kräver implementeringen inte ytterligare kod.
InitializeSecurityTokenRequirement(SecurityTokenRequirement) Implementera metoden. Den här metoden anropas av WCF för att konvertera klassinstansen för säkerhetstokenparametrar till en instans av SecurityTokenRequirement klassen. Resultatet används av säkerhetstokenprovidrar för att skapa lämplig instans av säkerhetstoken.
public class CreditCardTokenParameters : SecurityTokenParameters { public CreditCardTokenParameters() { } protected CreditCardTokenParameters(CreditCardTokenParameters other) : base(other) { } protected override SecurityTokenParameters CloneCore() { return new CreditCardTokenParameters(this); } protected override void InitializeSecurityTokenRequirement(SecurityTokenRequirement requirement) { requirement.TokenType = Constants.CreditCardTokenType; return; } // A credit card token has no cryptography, no windows identity, and supports only client authentication. protected override bool HasAsymmetricKey { get { return false; } } protected override bool SupportsClientAuthentication { get { return true; } } protected override bool SupportsClientWindowsIdentity { get { return false; } } protected override bool SupportsServerAuthentication { get { return false; } } protected override SecurityKeyIdentifierClause CreateKeyIdentifierClause(SecurityToken token, SecurityTokenReferenceStyle referenceStyle) { if (referenceStyle == SecurityTokenReferenceStyle.Internal) { return token.CreateKeyIdentifierClause<LocalIdKeyIdentifierClause>(); } else { throw new NotSupportedException("External references are not supported for credit card tokens"); } } }
Public Class CreditCardTokenParameters Inherits SecurityTokenParameters Public Sub New() End Sub Protected Sub New(ByVal other As CreditCardTokenParameters) MyBase.New(other) End Sub Protected Overrides Function CloneCore() As SecurityTokenParameters Return New CreditCardTokenParameters(Me) End Function Protected Overrides Sub InitializeSecurityTokenRequirement(ByVal requirement As SecurityTokenRequirement) requirement.TokenType = Constants.CreditCardTokenType Return End Sub ' A credit card token has no cryptography, no windows identity, and supports only client authentication. Protected Overrides ReadOnly Property HasAsymmetricKey() As Boolean Get Return False End Get End Property Protected Overrides ReadOnly Property SupportsClientAuthentication() As Boolean Get Return True End Get End Property Protected Overrides ReadOnly Property SupportsClientWindowsIdentity() As Boolean Get Return False End Get End Property Protected Overrides ReadOnly Property SupportsServerAuthentication() As Boolean Get Return False End Get End Property Protected Overrides Function CreateKeyIdentifierClause(ByVal token As SecurityToken, _ ByVal referenceStyle As SecurityTokenReferenceStyle) As SecurityKeyIdentifierClause If referenceStyle = SecurityTokenReferenceStyle.Internal Then Return token.CreateKeyIdentifierClause(Of LocalIdKeyIdentifierClause)() Else Throw New NotSupportedException("External references are not supported for credit card tokens") End If End Function End Class
Säkerhetstoken överförs i SOAP-meddelanden, vilket kräver en översättningsmekanism mellan minnesintern säkerhetstokenrepresentation och den lokala representationen. WCF använder en serialiserare för säkerhetstoken för att utföra den här uppgiften. Varje anpassad token måste åtföljas av en anpassad säkerhetstoken serialiserare som kan serialisera och deserialisera den anpassade säkerhetstoken från SOAP-meddelandet.
Kommentar
Härledda nycklar är aktiverade som standard. Om du skapar en anpassad säkerhetstoken och använder den som primär token härleder WCF en nyckel från den. När du gör det anropas serialiseraren SecurityKeyIdentifierClause för anpassad säkerhetstoken för att skriva för den anpassade säkerhetstoken medan du serialiserar DerivedKeyToken
till tråden. När token deserialiseras från tråden förväntar sig serialiseraren DerivedKeyToken
i den mottagande änden ett SecurityTokenReference
element som det underordnade elementet på den översta nivån under sig själv. Om den anpassade säkerhetstoken serialiseraren inte lade till ett SecurityTokenReference
element när dess satstyp serialiserades genereras ett undantag.
Skapa en anpassad säkerhetstokens serialiserare
Definiera en ny klass som härleds WSSecurityTokenSerializer från klassen.
Åsidosätt CanReadTokenCore(XmlReader) metoden, som förlitar sig på en XmlReader för att läsa XML-dataströmmen. Metoden returnerar
true
om serialiserarimplementeringen kan deserialisera säkerhetstoken baserat på dess aktuella element. I det här exemplet kontrollerar den här metoden om XML-läsarens aktuella XML-element har rätt elementnamn och namnområde. Om den inte gör det anropas basklassimplementeringen av den här metoden för att hantera XML-elementet.Åsidosätt ReadTokenCore(XmlReader, SecurityTokenResolver) metoden. Den här metoden läser XML-innehållet i säkerhetstoken och konstruerar lämplig minnesintern representation för den. Om den inte känner igen XML-elementet som den skickade XML-läsaren står på anropas basklassimplementeringen för att bearbeta de tokentyper som tillhandahålls av systemet.
Åsidosätt CanWriteTokenCore(SecurityToken) metoden. Den här metoden returnerar
true
om den kan konvertera minnesintern tokenrepresentation (skickas som ett argument) till XML-representationen. Om den inte kan konverteras anropas basklassimplementeringen.Åsidosätt WriteTokenCore(XmlWriter, SecurityToken) metoden. Den här metoden konverterar en minnesintern säkerhetstokenrepresentation till en XML-representation. Om metoden inte kan konverteras anropas basklassimplementeringen.
public class CreditCardSecurityTokenSerializer : WSSecurityTokenSerializer { public CreditCardSecurityTokenSerializer(SecurityTokenVersion version) : base() { } protected override bool CanReadTokenCore(XmlReader reader) { XmlDictionaryReader localReader = XmlDictionaryReader.CreateDictionaryReader(reader); if (reader == null) { throw new ArgumentNullException("reader"); } if (reader.IsStartElement(Constants.CreditCardTokenName, Constants.CreditCardTokenNamespace)) { return true; } return base.CanReadTokenCore(reader); } protected override SecurityToken ReadTokenCore(XmlReader reader, SecurityTokenResolver tokenResolver) { if (reader == null) { throw new ArgumentNullException("reader"); } if (reader.IsStartElement(Constants.CreditCardTokenName, Constants.CreditCardTokenNamespace)) { string id = reader.GetAttribute(Constants.Id, Constants.WsUtilityNamespace); reader.ReadStartElement(); // Read the credit card number. string creditCardNumber = reader.ReadElementString(Constants.CreditCardNumberElementName, Constants.CreditCardTokenNamespace); // Read the expiration date. string expirationTimeString = reader.ReadElementString(Constants.CreditCardExpirationElementName, Constants.CreditCardTokenNamespace); DateTime expirationTime = XmlConvert.ToDateTime(expirationTimeString, XmlDateTimeSerializationMode.Utc); // Read the issuer of the credit card. string creditCardIssuer = reader.ReadElementString(Constants.CreditCardIssuerElementName, Constants.CreditCardTokenNamespace); reader.ReadEndElement(); CreditCardInfo cardInfo = new CreditCardInfo(creditCardNumber, creditCardIssuer, expirationTime); return new CreditCardToken(cardInfo, id); } else { return WSSecurityTokenSerializer.DefaultInstance.ReadToken(reader, tokenResolver); } } protected override bool CanWriteTokenCore(SecurityToken token) { if (token is CreditCardToken) { return true; } else { return base.CanWriteTokenCore(token); } } protected override void WriteTokenCore(XmlWriter writer, SecurityToken token) { if (writer == null) { throw new ArgumentNullException("writer"); } if (token == null) { throw new ArgumentNullException("token"); } CreditCardToken c = token as CreditCardToken; if (c != null) { writer.WriteStartElement(Constants.CreditCardTokenPrefix, Constants.CreditCardTokenName, Constants.CreditCardTokenNamespace); writer.WriteAttributeString(Constants.WsUtilityPrefix, Constants.Id, Constants.WsUtilityNamespace, token.Id); writer.WriteElementString(Constants.CreditCardNumberElementName, Constants.CreditCardTokenNamespace, c.CardInfo.CardNumber); writer.WriteElementString(Constants.CreditCardExpirationElementName, Constants.CreditCardTokenNamespace, XmlConvert.ToString(c.CardInfo.ExpirationDate, XmlDateTimeSerializationMode.Utc)); writer.WriteElementString(Constants.CreditCardIssuerElementName, Constants.CreditCardTokenNamespace, c.CardInfo.CardIssuer); writer.WriteEndElement(); writer.Flush(); } else { base.WriteTokenCore(writer, token); } } }
Public Class CreditCardSecurityTokenSerializer Inherits WSSecurityTokenSerializer Public Sub New(ByVal version As SecurityTokenVersion) MyBase.New() End Sub Protected Overrides Function CanReadTokenCore(ByVal reader As XmlReader) As Boolean Dim localReader = XmlDictionaryReader.CreateDictionaryReader(reader) If reader Is Nothing Then Throw New ArgumentNullException("reader") End If If reader.IsStartElement(Constants.CreditCardTokenName, _ Constants.CreditCardTokenNamespace) Then Return True End If Return MyBase.CanReadTokenCore(reader) End Function Protected Overrides Function ReadTokenCore(ByVal reader As XmlReader, _ ByVal tokenResolver As SecurityTokenResolver) As SecurityToken If reader Is Nothing Then Throw New ArgumentNullException("reader") End If If reader.IsStartElement(Constants.CreditCardTokenName, _ Constants.CreditCardTokenNamespace) Then Dim id = reader.GetAttribute(Constants.Id, _ Constants.WsUtilityNamespace) reader.ReadStartElement() ' Read the credit card number. Dim creditCardNumber = reader.ReadElementString(Constants.CreditCardNumberElementName, _ Constants.CreditCardTokenNamespace) ' Read the expiration date. Dim expirationTimeString = reader.ReadElementString(Constants.CreditCardExpirationElementName, _ Constants.CreditCardTokenNamespace) Dim expirationTime As DateTime = XmlConvert.ToDateTime(expirationTimeString, _ XmlDateTimeSerializationMode.Utc) ' Read the issuer of the credit card. Dim creditCardIssuer = reader.ReadElementString(Constants.CreditCardIssuerElementName, _ Constants.CreditCardTokenNamespace) reader.ReadEndElement() Dim cardInfo As New CreditCardInfo(creditCardNumber, _ creditCardIssuer, _ expirationTime) Return New CreditCardToken(cardInfo, id) Else Return WSSecurityTokenSerializer.DefaultInstance.ReadToken(reader, _ tokenResolver) End If End Function Protected Overrides Function CanWriteTokenCore(ByVal token As SecurityToken) As Boolean If TypeOf token Is CreditCardToken Then Return True Else Return MyBase.CanWriteTokenCore(token) End If End Function Protected Overrides Sub WriteTokenCore(ByVal writer As XmlWriter, _ ByVal token As SecurityToken) If writer Is Nothing Then Throw New ArgumentNullException("writer") End If If token Is Nothing Then Throw New ArgumentNullException("token") End If Dim c = TryCast(token, CreditCardToken) If c IsNot Nothing Then With writer .WriteStartElement(Constants.CreditCardTokenPrefix, _ Constants.CreditCardTokenName, _ Constants.CreditCardTokenNamespace) .WriteAttributeString(Constants.WsUtilityPrefix, _ Constants.Id, _ Constants.WsUtilityNamespace, _ token.Id) .WriteElementString(Constants.CreditCardNumberElementName, _ Constants.CreditCardTokenNamespace, _ c.CardInfo.CardNumber) .WriteElementString(Constants.CreditCardExpirationElementName, _ Constants.CreditCardTokenNamespace, _ XmlConvert.ToString(c.CardInfo.ExpirationDate, _ XmlDateTimeSerializationMode.Utc)) .WriteElementString(Constants.CreditCardIssuerElementName, _ Constants.CreditCardTokenNamespace, _ c.CardInfo.CardIssuer) .WriteEndElement() .Flush() End With Else MyBase.WriteTokenCore(writer, token) End If End Sub End Class
När du har slutfört de fyra föregående procedurerna integrerar du den anpassade säkerhetstoken med autentiseringsuppgifterna för säkerhetstoken, autentiseringshanteraren, chefen och klienten och tjänsten.
Integrera den anpassade säkerhetstoken med en säkerhetstokenprovider
Providern för säkerhetstoken skapar, ändrar (om det behövs) och returnerar en instans av token. Skapa en anpassad provider för den anpassade säkerhetstoken genom att skapa en klass som ärver från SecurityTokenProvider klassen. I följande exempel åsidosätts GetTokenCore metoden för att returnera en instans av
CreditCardToken
. Mer information om anpassade leverantörer av säkerhetstoken finns i Så här skapar du en anpassad säkerhetstokenprovider.class CreditCardTokenProvider : SecurityTokenProvider { CreditCardInfo creditCardInfo; public CreditCardTokenProvider(CreditCardInfo creditCardInfo) : base() { if (creditCardInfo == null) { throw new ArgumentNullException("creditCardInfo"); } this.creditCardInfo = creditCardInfo; } protected override SecurityToken GetTokenCore(TimeSpan timeout) { SecurityToken result = new CreditCardToken(this.creditCardInfo); return result; } }
Friend Class CreditCardTokenProvider Inherits SecurityTokenProvider Private creditCardInfo As CreditCardInfo Public Sub New(ByVal creditCardInfo As CreditCardInfo) MyBase.New() If creditCardInfo Is Nothing Then Throw New ArgumentNullException("creditCardInfo") End If Me.creditCardInfo = creditCardInfo End Sub Protected Overrides Function GetTokenCore(ByVal timeout As TimeSpan) As SecurityToken Return TryCast(New CreditCardToken(Me.creditCardInfo), SecurityToken) End Function End Class
Så här integrerar du den anpassade säkerhetstoken med en säkerhetstokenautentisering
Autentiseringen av säkerhetstoken verifierar innehållet i säkerhetstoken när den extraheras från meddelandet. Skapa en anpassad autentiseringsutent för den anpassade säkerhetstoken genom att skapa en klass som ärver från SecurityTokenAuthenticator klassen. I följande exempel åsidosätts ValidateTokenCore metoden. Mer information om autentisering av anpassade säkerhetstoken finns i Så här skapar du en anpassad säkerhetstokenautentisering.
class CreditCardTokenAuthenticator : SecurityTokenAuthenticator { string creditCardsFile; public CreditCardTokenAuthenticator(string creditCardsFile) { this.creditCardsFile = creditCardsFile; } protected override bool CanValidateTokenCore(SecurityToken token) { return (token is CreditCardToken); } protected override ReadOnlyCollection<IAuthorizationPolicy> ValidateTokenCore(SecurityToken token) { CreditCardToken creditCardToken = token as CreditCardToken; if (creditCardToken.CardInfo.ExpirationDate < DateTime.UtcNow) { throw new SecurityTokenValidationException("The credit card has expired"); } if (!IsCardNumberAndExpirationValid(creditCardToken.CardInfo)) { throw new SecurityTokenValidationException("Unknown or invalid credit card"); } // The credit card token has only 1 claim: the card number. The issuer for the claim is the // credit card issuer. DefaultClaimSet cardIssuerClaimSet = new DefaultClaimSet(new Claim(ClaimTypes.Name, creditCardToken.CardInfo.CardIssuer, Rights.PossessProperty)); DefaultClaimSet cardClaimSet = new DefaultClaimSet(cardIssuerClaimSet, new Claim(Constants.CreditCardNumberClaim, creditCardToken.CardInfo.CardNumber, Rights.PossessProperty)); List<IAuthorizationPolicy> policies = new List<IAuthorizationPolicy>(1); policies.Add(new CreditCardTokenAuthorizationPolicy(cardClaimSet)); return policies.AsReadOnly(); } // This helper method checks whether a given credit card entry is present in the user database. private bool IsCardNumberAndExpirationValid(CreditCardInfo cardInfo) { try { using (StreamReader myStreamReader = new StreamReader(this.creditCardsFile)) { string line = ""; while ((line = myStreamReader.ReadLine()) != null) { string[] splitEntry = line.Split('#'); if (splitEntry[0] == cardInfo.CardNumber) { string expirationDateString = splitEntry[1].Trim(); DateTime expirationDateOnFile = DateTime.Parse(expirationDateString, System.Globalization.DateTimeFormatInfo.InvariantInfo, System.Globalization.DateTimeStyles.AdjustToUniversal); if (cardInfo.ExpirationDate == expirationDateOnFile) { string issuer = splitEntry[2]; return issuer.Equals(cardInfo.CardIssuer, StringComparison.InvariantCultureIgnoreCase); } else { return false; } } } return false; } } catch (Exception e) { throw new Exception("BookStoreService: Error while retrieving credit card information from User DB " + e.ToString()); } } }
Friend Class CreditCardTokenAuthenticator Inherits SecurityTokenAuthenticator Private creditCardsFile As String Public Sub New(ByVal creditCardsFile As String) Me.creditCardsFile = creditCardsFile End Sub Protected Overrides Function CanValidateTokenCore(ByVal token As SecurityToken) As Boolean Return (TypeOf token Is CreditCardToken) End Function Protected Overrides Function ValidateTokenCore(ByVal token As SecurityToken) As ReadOnlyCollection(Of IAuthorizationPolicy) Dim creditCardToken = TryCast(token, CreditCardToken) If creditCardToken.CardInfo.ExpirationDate < DateTime.UtcNow Then Throw New SecurityTokenValidationException("The credit card has expired") End If If Not IsCardNumberAndExpirationValid(creditCardToken.CardInfo) Then Throw New SecurityTokenValidationException("Unknown or invalid credit card") End If ' The credit card token has only 1 claim: the card number. The issuer for the claim is the ' credit card issuer. Dim cardIssuerClaimSet As New DefaultClaimSet(New Claim(ClaimTypes.Name, _ creditCardToken.CardInfo.CardIssuer, _ Rights.PossessProperty)) Dim cardClaimSet As New DefaultClaimSet(cardIssuerClaimSet, _ New Claim(Constants.CreditCardNumberClaim, _ creditCardToken.CardInfo.CardNumber, _ Rights.PossessProperty)) Dim policies As New List(Of IAuthorizationPolicy)(1) policies.Add(New CreditCardTokenAuthorizationPolicy(cardClaimSet)) Return policies.AsReadOnly() End Function ' This helper method checks whether a given credit card entry is present in the user database. Private Function IsCardNumberAndExpirationValid(ByVal cardInfo As CreditCardInfo) As Boolean Try Using myStreamReader As New StreamReader(Me.creditCardsFile) Dim line = String.Empty line = myStreamReader.ReadLine() Do While line IsNot Nothing Dim splitEntry() = line.Split("#"c) If splitEntry(0) = cardInfo.CardNumber Then Dim expirationDateString = splitEntry(1).Trim() Dim expirationDateOnFile As DateTime = DateTime.Parse(expirationDateString, _ System.Globalization.DateTimeFormatInfo.InvariantInfo, _ System.Globalization.DateTimeStyles.AdjustToUniversal) If cardInfo.ExpirationDate = expirationDateOnFile Then Dim issuer = splitEntry(2) Return issuer.Equals(cardInfo.CardIssuer, _ StringComparison.InvariantCultureIgnoreCase) Else Return False End If End If line = myStreamReader.ReadLine() Loop Return False End Using Catch e As Exception Throw New Exception("BookStoreService: Error while retrieving credit card information from User DB " & e.ToString()) End Try End Function End Class
public class CreditCardTokenAuthorizationPolicy : IAuthorizationPolicy { string id; ClaimSet issuer; IEnumerable<ClaimSet> issuedClaimSets; public CreditCardTokenAuthorizationPolicy(ClaimSet issuedClaims) { if (issuedClaims == null) throw new ArgumentNullException("issuedClaims"); this.issuer = issuedClaims.Issuer; this.issuedClaimSets = new ClaimSet[] { issuedClaims }; this.id = Guid.NewGuid().ToString(); } public ClaimSet Issuer { get { return this.issuer; } } public string Id { get { return this.id; } } public bool Evaluate(EvaluationContext context, ref object state) { foreach (ClaimSet issuance in this.issuedClaimSets) { context.AddClaimSet(this, issuance); } return true; } }
Public Class CreditCardTokenAuthorizationPolicy Implements IAuthorizationPolicy Private _id As String Private _issuer As ClaimSet Private _issuedClaimSets As IEnumerable(Of ClaimSet) Public Sub New(ByVal issuedClaims As ClaimSet) If issuedClaims Is Nothing Then Throw New ArgumentNullException("issuedClaims") End If Me._issuer = issuedClaims.Issuer Me._issuedClaimSets = New ClaimSet() {issuedClaims} Me._id = Guid.NewGuid().ToString() End Sub Public ReadOnly Property Issuer() As ClaimSet Implements IAuthorizationPolicy.Issuer Get Return Me._issuer End Get End Property Public ReadOnly Property Id() As String Implements System.IdentityModel.Policy.IAuthorizationComponent.Id Get Return Me._id End Get End Property Public Function Evaluate(ByVal context As EvaluationContext, _ ByRef state As Object) As Boolean Implements IAuthorizationPolicy.Evaluate For Each issuance In Me._issuedClaimSets context.AddClaimSet(Me, issuance) Next issuance Return True End Function End Class
Integrera den anpassade säkerhetstoken med en säkerhetstokenhanterare
Säkerhetstokenhanteraren skapar lämplig tokenprovider, säkerhetsautentisering och token-serialiserarinstanser. Skapa en anpassad tokenhanterare genom att skapa en klass som ärver från ClientCredentialsSecurityTokenManager klassen. De primära metoderna i klassen använder en SecurityTokenRequirement för att skapa lämpliga provider- och klient- eller tjänstautentiseringsuppgifter. Mer information om anpassade säkerhetstokenhanterare finns i Genomgång: Skapa anpassade klient- och tjänstautentiseringsuppgifter.
public class CreditCardClientCredentialsSecurityTokenManager : ClientCredentialsSecurityTokenManager { CreditCardClientCredentials creditCardClientCredentials; public CreditCardClientCredentialsSecurityTokenManager(CreditCardClientCredentials creditCardClientCredentials) : base(creditCardClientCredentials) { this.creditCardClientCredentials = creditCardClientCredentials; } public override SecurityTokenProvider CreateSecurityTokenProvider(SecurityTokenRequirement tokenRequirement) { if (tokenRequirement.TokenType == Constants.CreditCardTokenType) { // Handle this token for Custom. return new CreditCardTokenProvider(this.creditCardClientCredentials.CreditCardInfo); } else if (tokenRequirement is InitiatorServiceModelSecurityTokenRequirement) { // Return server certificate. if (tokenRequirement.TokenType == SecurityTokenTypes.X509Certificate) { return new X509SecurityTokenProvider(creditCardClientCredentials.ServiceCertificate.DefaultCertificate); } } return base.CreateSecurityTokenProvider(tokenRequirement); } public override SecurityTokenSerializer CreateSecurityTokenSerializer(SecurityTokenVersion version) { return new CreditCardSecurityTokenSerializer(version); } }
Public Class CreditCardClientCredentialsSecurityTokenManager Inherits ClientCredentialsSecurityTokenManager Private creditCardClientCredentials As CreditCardClientCredentials Public Sub New(ByVal creditCardClientCredentials As CreditCardClientCredentials) MyBase.New(creditCardClientCredentials) Me.creditCardClientCredentials = creditCardClientCredentials End Sub Public Overrides Function CreateSecurityTokenProvider(ByVal tokenRequirement As SecurityTokenRequirement) As SecurityTokenProvider If tokenRequirement.TokenType = Constants.CreditCardTokenType Then ' Handle this token for Custom. Return New CreditCardTokenProvider(Me.creditCardClientCredentials.CreditCardInfo) ElseIf TypeOf tokenRequirement Is InitiatorServiceModelSecurityTokenRequirement Then ' Return server certificate. If tokenRequirement.TokenType = SecurityTokenTypes.X509Certificate Then Return New X509SecurityTokenProvider(creditCardClientCredentials.ServiceCertificate.DefaultCertificate) End If End If Return MyBase.CreateSecurityTokenProvider(tokenRequirement) End Function Public Overloads Overrides Function CreateSecurityTokenSerializer(ByVal version As SecurityTokenVersion) As SecurityTokenSerializer Return New CreditCardSecurityTokenSerializer(version) End Function End Class
public class CreditCardServiceCredentialsSecurityTokenManager : ServiceCredentialsSecurityTokenManager { CreditCardServiceCredentials creditCardServiceCredentials; public CreditCardServiceCredentialsSecurityTokenManager(CreditCardServiceCredentials creditCardServiceCredentials) : base(creditCardServiceCredentials) { this.creditCardServiceCredentials = creditCardServiceCredentials; } public override SecurityTokenAuthenticator CreateSecurityTokenAuthenticator(SecurityTokenRequirement tokenRequirement, out SecurityTokenResolver outOfBandTokenResolver) { if (tokenRequirement.TokenType == Constants.CreditCardTokenType) { outOfBandTokenResolver = null; return new CreditCardTokenAuthenticator(creditCardServiceCredentials.CreditCardDataFile); } return base.CreateSecurityTokenAuthenticator(tokenRequirement, out outOfBandTokenResolver); } public override SecurityTokenSerializer CreateSecurityTokenSerializer(SecurityTokenVersion version) { return new CreditCardSecurityTokenSerializer(version); } }
Public Class CreditCardServiceCredentialsSecurityTokenManager Inherits ServiceCredentialsSecurityTokenManager Private creditCardServiceCredentials As CreditCardServiceCredentials Public Sub New(ByVal creditCardServiceCredentials As CreditCardServiceCredentials) MyBase.New(creditCardServiceCredentials) Me.creditCardServiceCredentials = creditCardServiceCredentials End Sub Public Overrides Function CreateSecurityTokenAuthenticator(ByVal tokenRequirement As SecurityTokenRequirement, _ <System.Runtime.InteropServices.Out()> ByRef outOfBandTokenResolver As SecurityTokenResolver) As SecurityTokenAuthenticator If tokenRequirement.TokenType = Constants.CreditCardTokenType Then outOfBandTokenResolver = Nothing Return New CreditCardTokenAuthenticator(creditCardServiceCredentials.CreditCardDataFile) End If Return MyBase.CreateSecurityTokenAuthenticator(tokenRequirement, outOfBandTokenResolver) End Function Public Overrides Function CreateSecurityTokenSerializer(ByVal version As SecurityTokenVersion) As SecurityTokenSerializer Return New CreditCardSecurityTokenSerializer(version) End Function End Class
Så här integrerar du den anpassade säkerhetstoken med anpassade klient- och tjänstautentiseringsuppgifter
Autentiseringsuppgifterna för den anpassade klienten och tjänsten måste läggas till för att tillhandahålla ett API för programmet så att det går att ange anpassad tokeninformation som används av den anpassade säkerhetstokeninfrastrukturen som skapades tidigare för att tillhandahålla och autentisera innehållet i den anpassade säkerhetstoken. Följande exempel visar hur detta kan göras. Mer information om anpassade klient- och tjänstautentiseringsuppgifter finns i Genomgång: Skapa anpassade klient- och tjänstautentiseringsuppgifter.
public class CreditCardClientCredentials : ClientCredentials { CreditCardInfo creditCardInfo; public CreditCardClientCredentials(CreditCardInfo creditCardInfo) : base() { if (creditCardInfo == null) { throw new ArgumentNullException("creditCardInfo"); } this.creditCardInfo = creditCardInfo; } public CreditCardInfo CreditCardInfo { get { return this.creditCardInfo; } } protected override ClientCredentials CloneCore() { return new CreditCardClientCredentials(this.creditCardInfo); } public override SecurityTokenManager CreateSecurityTokenManager() { return new CreditCardClientCredentialsSecurityTokenManager(this); } }
Public Class CreditCardClientCredentials Inherits ClientCredentials Private _creditCardInfo As CreditCardInfo Public Sub New(ByVal creditCardInfo As CreditCardInfo) MyBase.New() If creditCardInfo Is Nothing Then Throw New ArgumentNullException("creditCardInfo") End If Me._creditCardInfo = creditCardInfo End Sub Public ReadOnly Property CreditCardInfo() As CreditCardInfo Get Return Me._creditCardInfo End Get End Property Protected Overrides Function CloneCore() As ClientCredentials Return New CreditCardClientCredentials(Me._creditCardInfo) End Function Public Overrides Function CreateSecurityTokenManager() As SecurityTokenManager Return New CreditCardClientCredentialsSecurityTokenManager(Me) End Function End Class
public class CreditCardServiceCredentials : ServiceCredentials { string creditCardFile; public CreditCardServiceCredentials(string creditCardFile) : base() { if (creditCardFile == null) { throw new ArgumentNullException("creditCardFile"); } this.creditCardFile = creditCardFile; } public string CreditCardDataFile { get { return this.creditCardFile; } } protected override ServiceCredentials CloneCore() { return new CreditCardServiceCredentials(this.creditCardFile); } public override SecurityTokenManager CreateSecurityTokenManager() { return new CreditCardServiceCredentialsSecurityTokenManager(this); } }
Public Class CreditCardServiceCredentials Inherits ServiceCredentials Private creditCardFile As String Public Sub New(ByVal creditCardFile As String) MyBase.New() If creditCardFile Is Nothing Then Throw New ArgumentNullException("creditCardFile") End If Me.creditCardFile = creditCardFile End Sub Public ReadOnly Property CreditCardDataFile() As String Get Return Me.creditCardFile End Get End Property Protected Overrides Function CloneCore() As ServiceCredentials Return New CreditCardServiceCredentials(Me.creditCardFile) End Function Public Overrides Function CreateSecurityTokenManager() As SecurityTokenManager Return New CreditCardServiceCredentialsSecurityTokenManager(Me) End Function End Class
Klassen för anpassade säkerhetstokenparametrar som skapades tidigare används för att meddela WCF-säkerhetsramverket att en anpassad säkerhetstoken måste användas vid kommunikation med en tjänst. Följande procedur visar hur detta kan göras.
Integrera den anpassade säkerhetstoken med bindningen
Klassen för anpassade säkerhetstokenparametrar måste anges i en av de tokenparametrar som exponeras i SecurityBindingElement klassen. I följande exempel används samlingen som returneras av
SignedEncrypted
. Koden lägger till den anpassade kreditkortstoken till varje meddelande som skickas från klienten till tjänsten med dess innehåll automatiskt signerat och krypterat.public static class BindingHelper { public static Binding CreateCreditCardBinding() { HttpTransportBindingElement httpTransport = new HttpTransportBindingElement(); // The message security binding element is configured to require a credit card // token that is encrypted with the service's certificate. SymmetricSecurityBindingElement messageSecurity = new SymmetricSecurityBindingElement(); messageSecurity.EndpointSupportingTokenParameters.SignedEncrypted.Add(new CreditCardTokenParameters()); X509SecurityTokenParameters x509ProtectionParameters = new X509SecurityTokenParameters(); x509ProtectionParameters.InclusionMode = SecurityTokenInclusionMode.Never; messageSecurity.ProtectionTokenParameters = x509ProtectionParameters; return new CustomBinding(messageSecurity, httpTransport); } }
Public NotInheritable Class BindingHelper Private Sub New() End Sub Public Shared Function CreateCreditCardBinding() As Binding Dim httpTransport As New HttpTransportBindingElement() ' The message security binding element is configured to require a credit card ' token that is encrypted with the service's certificate. Dim messageSecurity As New SymmetricSecurityBindingElement() messageSecurity.EndpointSupportingTokenParameters.SignedEncrypted.Add(New CreditCardTokenParameters()) Dim x509ProtectionParameters As New X509SecurityTokenParameters() x509ProtectionParameters.InclusionMode = SecurityTokenInclusionMode.Never messageSecurity.ProtectionTokenParameters = x509ProtectionParameters Return New CustomBinding(messageSecurity, httpTransport) End Function End Class
Det här avsnittet visar de olika kodstycken som krävs för att implementera och använda en anpassad token. Om du vill se ett fullständigt exempel på hur alla dessa koddelar passar ihop ser du Anpassad token.
Se även
- SecurityToken
- SecurityTokenParameters
- WSSecurityTokenSerializer
- SecurityTokenProvider
- SecurityTokenAuthenticator
- IAuthorizationPolicy
- SecurityTokenRequirement
- SecurityTokenManager
- ClientCredentials
- ServiceCredentials
- SecurityBindingElement
- Genomgång: Skapa anpassade klient- och tjänstautentiseringsuppgifter
- Gör så här: Skapa en anpassad säkerhetstokenautentisering
- Gör så här: Skapa en anpassad säkerhetstokenprovider