基于AD组的WCF Web服务身份验证

> AUTHENTICATION是确定是谁呼唤你的过程,并确保他确实是他声称的那个人;这可以使用用户名/密码,Windows凭据(他已经通过登录验证自己的Windows框)或要求调用者获得一些信息(证书)来完成
>授权是一个过程 – 一旦你知道谁在呼唤你,确定呼叫者可以做什么(或他不能做什么)

要使用Active Directory组,您需要在WCF中使用支持Windows凭据的安全模式.最简单的方法是从头开始使用Windows凭据,这是wsHttpBinding和netTcpBinding的默认值 – 在这种情况下,调用者将始终在每次调用时传递他的Windows凭据,并且您可以通过查看服务器端来检查服务器端的那些凭据. ServiceSecurityContext.Current.WindowsIdentity：

WindowsIdentity caller = ServiceSecurityContext.Current.WindowsIdentity;

这在Intranet场景中运行良好 – 无论如何,每个人都在公司防火墙后面并在他们的机器上进行身份验证.为了实现这一点,只需使用wsHttp或netTcp绑定(在这种情况下我推荐使用netTcp).

另一个稍微复杂的情况是,当您的客户端提供X.509证书,然后您将服务器端的映射映射到网络中的现有AD用户.然而,那是相当先进的.

一旦您的呼叫者通过身份验证,例如您知道谁在呼叫,您可以使用常规的基于角色的安全模型来限制权限.只需将[PrincipalPermission(….)]属性添加到要保护的方法中,如果用户不符合任何这些要求,则抛出安全异常并且不会执行该方法.

[PrincipalPermission(SecurityAction.Demand,Role = "Administrators")]
    [PrincipalPermission(SecurityAction.Demand,Name = "JohnDoe")]
    public string SayHello(string caller)
    {
     ......
    }

你可以拥有多个“PrincipalPermission”属性,并且它们以“OR”方式匹配在一起 – 如果它们中的任何一个与当前调用者匹配,他将被允许进行调用.

有关如何使用基于角色的安全性的更多详细信息,请查看本文第Fundamentals of WCF Security页的第4页.

渣子