模拟在WCF中的应用

在《模拟(Impersonation)与委托(Delegation)》一文中,我们对模拟和委托这两个概念以及相关编程实现进行了详细说明。如果将模拟使用在WCF上面,就意味着WCF可以模拟客户端身份(而不是启动寄宿进程的Windows帐号)执行服务操作。这篇文章主要介绍WCF关于模拟的编程。

一、命令式模拟编程

如果我们有一个具有模拟级别为Impersonation或者Delegation的WindowsIdentity,我们就可以通过调用其Impersonate对其进行身份模拟。在采用WCF认证的情况下,我们可以通过当前ServiceSecurityContext的WindowsIdentity或者PrimaryIdentity获取到代码认证客户端的WindowsIdentity对象,那么在服务操作中模拟客户端身份就和简单了。这种在服务操作实现中通过编程的方式实现身份模式可以将服务操作的部分逻辑在模拟的客户端身份下执行。

   1: using (WindowsImpersonationContext context = ServiceSecurityContext.Current.WindowsIdentity.Impersonate())
   2: {
   3:     //在模拟上下文中执行的操作
   4: }

二、声明式模拟编程

如果你希望整个操作都在模拟上下文中执行,你可以采用声明式的模拟编程。具体来说,你只需要在需要进行模拟的服务操作方法上应用OperationBehaviorAttribute特性,并指定相应的模拟选项即可。

   1: [AttributeUsage(AttributeTargets.Method)]
   2: public sealed class OperationBehaviorAttribute : Attribute, IOperationBehavior
   3: {
   4:     //其他成员
   5:     public ImpersonationOption Impersonation { get; set; }
   6: }
   7: public enum ImpersonationOption
   8: {
   9:     NotAllowed,
  10:     Allowed,
  11:     Required
  12: }

通过OperationBehaviorAttribute的Impersonation属性指定模拟选项通过枚举ImpersonationOption表示。定义在ImpersonationOption的三个枚举项NotAllowed、Allowed和Required分别表示的含义如下。

  • NotAllowed:不允许模拟客户端身份,这是默认值;
  • Allowed:在身份模拟条件满足条件允许模拟客户端身份;
  • Required:强制模拟客户端身份。这要求强制采用Windows认证,如果采用非Windows认证,会抛出异常。

此外,如果你要求服务的所有操作均强制采用身份模拟,你可以通过编程或者配置将ServiceAuthorizationBehavior的ImpersonateCallerForAllOperations属性设置成true。但是在这种情况下,如果该服务具有任何模拟选项被设置成NotAllowed的服务操作,服务在寄宿过程中会抛出InvalidationOperationException异常。

   1: public sealed class ServiceAuthorizationBehavior : IServiceBehavior
   2: {   
   3:     //其他成员
   4:     public bool ImpersonateCallerForAllOperations { get; set; }
   5: }

三、设置模拟级别

在采用Windows认证的情况下,服务可以在成功认证后可以获取代表客户端身份的WindowsIdentity对象。但是服务端是否可以根据WindowsIdentity获取客户端身份信息,是否可以模拟客户端身份访问某些安全资源,这取决于该WindowsIdentity的模拟级别。

身份模拟密切地关系到被模拟身份代表的用户的安全,所以模拟级别应该通过客户端自行控制。在WCF安全体系中,该模拟级别是在客户端提供的Windows凭证中指定。如下面的代码所示,表示客户端Windows凭证的WindowsClientCredential类型中,具有一个类型为TokenImpersonationLevel枚举的AllowedImpersonationLevel属性,用以指定模拟级别。该属性的默认值为None,实际上代表的等级是Identification。

   1: public sealed class WindowsClientCredential
   2: {
   3:     //其他成员
   4:     public TokenImpersonationLevel AllowedImpersonationLevel { get; set; }
   5: }

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏架构说

河狸家:Redis 源码的深度剖析

大家好!我叫陈科,目前就职于河狸家,主要做架构方面的工作,今天和大家分享的是 Redis 的源码分析。 Redis 这个东西很简单,懂 C 语言的同学花一个下...

37670
来自专栏黄Java的地盘

如何实现一个HTTP请求库——axios源码阅读与分析

在前端开发过程中,我们经常会遇到需要发送异步请求的情况。而使用一个功能齐全,接口完善的HTTP请求库,能够在很大程度上减少我们的开发成本,提高我们的开发效率。

18320
来自专栏锦小年的博客

python学习笔记7.1-内建模块os

Python编程语言优势特点比较突出,已经出现就凭借这些功能优势吸引着开发人员的眼球。在Python这一语言中,有一种标准模块叫做os模块,Python os模...

20960
来自专栏游戏杂谈

jscript调用bat注意事项

开发的游戏项目,需要一个工具,对指定的资源进行复制、加密,然后打包。之前打包时都手工操作,复制与加密这二步分别写了几个工具(lua加密与图片资源加密是分开的),...

11830
来自专栏极客猴

详解 python3 urllib

本文是爬虫系列文章的第一篇,主要讲解 Python 3 中的 urllib 库的用法。urllib 是 Python 标准库中用于网络请求的库。该库有四个模块,...

13610
来自专栏java一日一条

servlet/filter/listener/interceptor区别与联系

由于最近两个月工作比较清闲,个人也比较“上进”,利用工作空余时间,也继续学习了一下,某天突然想起struts2和struts1的区别的时 候,发现 为什么st...

10120
来自专栏noteless

[零] JavaIO入门简介 程序设计语言 为什么需要IO库

本文旨在引申出来Java IO的概念含义,作为学习JavaIO一个起步的了解知识点

11720
来自专栏技术博文

PHP5中Cookie与 Session详解

1、Cookie和Session简介与区别 在非常多时候,我们需要跟踪浏览者在整个网站的活动,对他们身份进行自动或半自动的识别(也就是平时常说的网站登陆之类的功...

30870
来自专栏社区的朋友们

深入浅出 Nodejs(四):Nodejs 异步 I/O 机制

本篇教程关于 Nodejs 的异步 I/O ,具体讲异步 I/O 的实现现状、非 I/O 的异步 API 、事件驱动与高性能服务器。

78900
来自专栏Golang语言社区

Golang语言社区--【游戏服务器知识】多线程并发

引言:上篇文章说到了多进程并发式的服务端模型,如上一篇文章所述,进程的频繁创建会导致服务器不堪负载,那这一篇博客主要讲述的是线程模型和线程池的方式来提高服务端的...

36140

扫码关注云+社区

领取腾讯云代金券