BF-TECH4.0DNET軟件開發工程師高薪就業品牌課程

版權所有：北風網wcf高級編程ch7身份驗證及授權共17頁，您現在瀏覽的是第1頁!

使用WCF搭建企業通用架構

講師：石曼迪wcf高級編程ch7身份驗證及授權共17頁，您現在瀏覽的是第2頁!第七章：身份驗證及授權wcf高級編程ch7身份驗證及授權共17頁，您現在瀏覽的是第3頁!目錄使用WCF傳輸安全性方案身份驗證wcf高級編程ch7身份驗證及授權共17頁，您現在瀏覽的是第4頁!WCF傳輸安全性傳輸安全模式wcf高級編程ch7身份驗證及授權共17頁，您現在瀏覽的是第5頁!WCF傳輸安全性傳輸安全模式：Message安全模式wcf高級編程ch7身份驗證及授權共17頁，您現在瀏覽的是第6頁!Transport安全模式Transport安全模式具有一個最大的優點，那就是高性能。雖然TLS/SSL在正式進行消息交換之前需要通過協商建立一個安全的連接，但是這個協商過程完全通過傳輸層協議來完成。而且這種安全模式還可以充分利用網絡適配器的硬件加速，這樣就可以介紹CPU時間，進而提供性能。但是，受限于傳輸層安全協議的特點，Transport安全模式也具有一些不可避免的局限性：?Transport安全模式依賴于具體的傳輸協議；?它只能提供基于點對點（Point-to-Point）的安全傳輸保障，即客戶端之間連接服務的場景。如果在客戶端的服務端之間的網絡需要一些用于消息路由的中間結點，Transport安全模式則沒有了用武之地。?在Transport安全模式下，意味著我們不得不在傳輸層而不能在應用層解決對客戶端的認證，這就決定了可供選擇的認證方式不如Message模式多。也正是由于上述的這些局限（主要還是只能提供點對點的安全傳輸保障），決定了Intranet是Transport安全模式主要的應用環境。為了克服這些局限，我們需要一種與傳輸協議無關的、能夠提供端到端（End-to-End）安全傳輸保障的、具有多種認證解決方案的安全模式，那就是Message安全模式。wcf高級編程ch7身份驗證及授權共17頁，您現在瀏覽的是第7頁!Message安全模式Message安全模式具有如下的優點：?由于Message安全模式是通過在應用層通過對消息實施加密、簽名等安全機制實現的，所以這是一種于具體傳輸協議無關的安全機制，不會因底層采用的是TCP或者HTTP而有所不同。較之Transport安全，這種基于應用層實現的安全機制在認證方式上具有更多的選擇；?由于Message安全模式下各種安全機制都是直接應用在消息（SOAP）級別的，無論消息路由的路徑有多復雜，都能夠保證消息的安全傳輸。所以，不同于Transport安全模式只能提供點對點（Point-to-Point）的安全，Message安全模式能夠提供端到端（End-to-End）安全；?由于Message安全模式是對WS-Security、WS-Trust、WS-SecureConversation和WS-SecurityPolicy這四個WS-*規范的實現，所有具有很好的互操作性，能夠提供跨平臺的支持。但是Transport安全模式有一點是Message安全模式不能比的，那就是性能。Transport安全模式能夠借助于網絡適配器硬件加速，降低CPU計算時間，從而提供高效的傳輸安全。Message模式在性能上稍遜一籌。wcf高級編程ch7身份驗證及授權共17頁，您現在瀏覽的是第8頁!使用Windows確保傳輸安全集成Windows認證（IWA：IntegratedWindowsAuthentication）是僅次于用戶名/密碼的認證方式。尤其是在基于Windows活動目錄（AD：ActiveDirectory）的Intranet應用來說，Windows認證更是成為首選。微軟幾乎所有需要進行認證的產品或者開發平臺都集成了Windows認證，比如IIS，SQLServer，ASP.NET等，當然，WCF也不可能例外。Windows是實現單點登錄（SSO：SingleSign-On）最理想的方式。無論是采用域（Domain）模式還是工作組（Workgroup）模式，只要你以Windows帳號和密碼登錄到某一臺機器，你就會得到一個憑證。在當前會話超時之前，你就可以攜帶該Windows憑證，自動登錄到集成了Windows認證方式的所有應用，而無須頻繁地輸入相同的Windows帳號和密碼。如果登錄帳號不具有操作目標應用的權限，在一般情況下，你好可以通過重新輸入Windows帳號和相應的密碼（如果當前用戶具有多個Windows帳號）以另外一個身份（該身份具有對目標應用進行操作的訪問權限）對目標應用進行操作。WCF客戶端安全框架自動將客戶端應用進程的Windows憑證，作為調用服務的客戶段憑證發送給服務進行認證。此外，在編寫客戶端程序的時候，我們還可以通過指定Windows用戶名和密碼動態地創建Windows憑證，并將其作為客戶端憑證進行服務的調用。Windows憑證需要通過提供Window帳號和相匹配的密碼來獲取，從性質上也可以看成是用戶名/密碼憑證的變體，我們可以照用戶名/密碼憑證的方式來分析Windows憑證的三個屬性。wcf高級編程ch7身份驗證及授權共17頁，您現在瀏覽的是第9頁!總結傳輸安全模式各種認證的使用場合WCF視頻教程：使用WCF搭建企業通用架構學習地址：.ibeifeng./goods-423.htmlwcf高級編程ch7身份驗證及授權共17頁，您現在瀏覽的是第10頁!WCF傳輸安全性WCF的安全體系主要包括三個方面：

傳輸安全（TransferSecurity）；

授權或者訪問控制（AuthorizationORAccessControl）；

審核（Auditing）；傳輸安全又包括兩個方面：

認證（Authentication）；

消息保護（MessageProtection）；認證幫助客戶端或者服務確認對方的真實身份，而消息保護則通過簽名和加密實現消息的一致性和機密性。WCF采用兩種不同的機制來解決這三個涉及到傳輸安全的問題，我們一般將它們稱為不同的安全模式，即Transport安全模式和Message安全模式。wcf高級編程ch7身份驗證及授權共17頁，您現在瀏覽的是第11頁!WCF傳輸安全性傳輸安全模式：Transport安全模式wcf高級編程ch7身份驗證及授權共17頁，您現在瀏覽的是第12頁!Transport安全模式Transport安全模式就是利用基于傳輸層協議的安全機制解決傳輸安全涉及的三個問題，即認證、消息一致性和進行性。而TLS/SSL是實現Transport安全最常用（并非唯一）的方式。當客戶端和這個HTTPS站點所在的Web服務器進行正式的訪問請求之前，在它們之間必須建立了安全的HTTP連接。而這樣一個安全的連接的創建通過客戶端和Web站點之間的多次握手或者協商（Negotiation）來完成。步驟一：客戶端向HTTPS站點發送協商請求，該請求中包括客戶端所能夠支持的加密算法列表；步驟二：HTTPS站點從加密算法列表中選擇自己支持的并且安全級別最高的算法（有時候站點也可能綜合考慮性能和安全兩者之間的平衡，從中選擇一個“最佳”的加密算法），連同綁定到該站點的數字證書（所有HTTPS站點在部署的時候都會綁定一個X.509證書）一并發送給客戶端；步驟三：客戶端接收到服務端發回的數字證書之后，通過驗證證書進而確定服務身份。在驗證成功的情況下，客戶端會生成一個隨機隨機數，作為會話密鑰（SessionKey），緩存在客戶端。客戶端隨后并采用服務端發回的加密算法，利用從證書中提取的公鑰進行加密。加密后的會話密鑰被發送給服務端，服務端使用自己的私鑰采用相對應的算法進行機密得到該會話密鑰。至此，客戶端和服務端具有一個只有它們彼此知曉的會話密鑰，所有的請求和回復消息均通過該會化密鑰進行加密和解密。wcf高級編程ch7身份驗證及授權共17頁，您現在瀏覽的是第13頁!Message安全模式Message模式則直接將安全策略的目標對象對準消息本身，通過對消息進行簽名、加密實現消息安全傳輸。所以Message安全模式不會因底層是HTTP或者TCP傳輸協議而采用不同的安全機制，并且能夠提供從消息最初發送端到最終接收端之間的安全傳輸，即端到端（End-To-End）安全傳輸。Message模式下的安全協議是一種應用層協議，我們可以在應用層上實現對客戶端的驗證，因而具有更多的認證解決方案的選擇。wcf高級編程ch7身份驗證及授權共17頁，您現在瀏覽的是第14頁!使用WCF傳輸安全的常見方案使用Windows確保傳輸安全。

WCF客戶端和服務部署在Windows域（或Windows目錄林）中。消息包含個人數據，因此要求客戶端和服務相互進行身份驗證，要求實現消息完整性和消息保密性。此外，還需要有已發生特定事務的證明，例如，消息的接收方應記錄簽名信息。使用UserName和HTTPS確保傳輸安全。

WCF客戶端和服務需要一些開發工作，以便通過Internet工作。客戶端憑據根據數據庫（其中的內容為用戶名/密碼對）進行身份驗證。服務是用受信任的安全套接字層(SSL)證書部署在一個HTTPS地址的。由于消息是通過Internet傳輸的，因此，客戶端和服務需要相互進行身份驗證，并且必須在傳輸過程中保持消息的保密性和完整性。使用證書確保傳輸安全。

WCF客戶端和服務需要一些開發工作，以便通過公共Internet工作。客戶端和服務都具有可用于確保消息安全的證書。客戶端和服務