WCF HttpBinding 安全解析 （5）Basic验证（IIS宿主）

xuncode

　　Basic验证方式是基于用户名/密码的验证方式，在Windows环境下，我们提供的是有效的Windows用户名和密码。但是Basic身份验证方式和Windows身份验证方式是有本质上的区别的。Basic是Http安全规范（RFC 2617），不同的互联网应用体系都可以实现和进行Basic身份验证。
　　我们使用代码清单11-89的配置在TransportCredentialOnly模式下启用Basic验证。
　　代码清单11-89 启用Basic验证




<basicHttpBinding>
<binding
name="basicBindingConf">
<security
mode="TransportCredentialOnly">
<transport
clientCredentialType="Basic">
</transport>
</security>
</binding>
</basicHttpBinding>
　　配置文件修改完毕之后，我们还需要配置IIS来支持Basic验证，这里我关闭其他所有验证方式，只开启基本验证，如图11-39。

图11-39 启用IIS基本身份验证

　　服务端配置完毕，在测试站点上更新服务，会看到更新后的配置文件，如代码清单11-90所示。
　　代码清单11-90 客户端配置Basic验证




<security mode="TransportCredentialOnly">
<transport
clientCredentialType="Basic" proxyCredentialType="None" realm=""/>
<message
clientCredentialType="UserName" algorithmSuite="Default"/>
</security>
　　上面配置中“realm”属性配置的是域信息。实际代表的是每次请求的根URL。
　　那么如何在在客户端传递验证信息呢？看代码清单11-91。
　　代码清单11-91 传递客户端Basic验证信息





   1:  
   2: public ActionResultIndex()
   3: {
   4: client.ClientCredentials.UserName.UserName="administrator";
   5: client.ClientCredentials.UserName.Password="xuan$%^hun456";
   6: stringhelloString=client.GetHello();
   7: ViewData["Message"]=helloString;
   8: returnView();
   9: }
　　从清单11-90中，我们可以看到，与Windows验证不同的是，使用了另一个对象来传递身份信息，client.ClientCredentials.UserName对。client.ClientCredentials.UserName的UserName属性和Password属性分别用来传递用户名和密码。
　　运行测试站点，结果如图11-40。

图11-40 Basic验证结果

　　我们再来分析下Basic验证方式是如何通过Http传输的，请求信息如代码清单11-92，应答信息如代码清单11-93。
　　代码清单11-92 Basic请求信息




POST http://wcfservicewebsite.com/HelloService.svc HTTP/1.1
Content-Type: text/xml; charset=utf-8
VsDebuggerCausalityData:
uIDPo9qmOexINPFJi+3tKDrHjuIAAAAA9X2d7hDLH0GIwSTCqNRNiRHsOF3Z8KRDvBWVY4qgV1EACQAA
SOAPAction: "http://tempuri.org/IHelloService/GetHello"
Authorization: Basic YWRtaW5pc3RyYXRvcjp4dWFuJCVeaHVuNDU2
Host: wcfservicewebsite.com
Content-Length: 133
Expect: 100-continue
Accept-Encoding: gzip, deflate
Connection: Keep-Alive
<s:Envelope
xmlns:s="http://schemas.xmlsoap.org/soap/envelope/"><s:Body><GetHello
xmlns="http://tempuri.org/"/></s:Body></s:Envelope>
　　代码清单11-93 Basic应答信息




HTTP/1.1 200 OK
Content-Type: text/xml; charset=utf-8
Vary: Accept-Encoding
Server: Microsoft-IIS/7.5
X-Powered-By: ASP.NET
Date: Sun, 26 Jun 2011 05:01:41 GMT
Content-Length: 237
<s:Envelope
xmlns:s="http://schemas.xmlsoap.org/soap/envelope/"><s:Body><GetHelloResponse
xmlns="http://tempuri.org/"><GetHelloResult>Hello:BS--YANGWENHAI\Administrator;type=Basic</GetHelloResult></GetHelloResponse></s:Body></s:Envelope>
　　我们先看请求信息，重点关注这一句：
　　Authorization: Basic YWRtaW5pc3RyYXRvcjp4dWFuJCVeaHVuNDU2。
　　这句话由三段组成，第一段Authorization:标志验证信息；第二段Basic：标志验证类型为Basic；第三段：YWRtaW5pc3RyYXRvcjp4dWFuJCVeaHVuNDU2，是一段Base64编码的文本，内容是什么呢？我们对其转码，结果如下：
　　administrator:xuan$%^hun456
　　可以看到这是由冒号（：）分割的用户名和密码。
　　我们在看响应数据，验证通过之后直接返回结果，那么如果验证不通过呢？我们修改客户端提供的密码信息，再次提交请求，看结果如何。
　　调试捕获的异常信息如图11-41所示。

图11-41 Basic验证失败

　　图11-41通知客户端验证失败，同时我们还可以看到当我们不在配置文件和IIS中配置域信息时，IIS会自动将请求的域信息填充的头部。现在我们再看捕获的Http信息。响应信息如代码清单11-94。
　　代码清单11-94 Basic验证失败响应信息




HTTP/1.1 401 Unauthorized
Cache-Control: private
Content-Type: text/html; charset=utf-8
Server: Microsoft-IIS/7.5
WWW-Authenticate: Basic realm="wcfservicewebsite.com"
X-Powered-By: ASP.NET
Date: Sun, 26 Jun 2011 05:27:25 GMT
Content-Length: 6329
　　返回的信息，第一行错误码为“401”，解释为“Unauthorized”。加粗的一行标识了具体验证失败的信息，WWW-Authenticate是标准的验证响应头字段，Basic表明验证方式为“Basic”，realm表明未通过验证的域为“wcfservicewebsite.com”。