WCF Rest 自托管证书安全服务返回 401 未经授权

【问题标题】:WCF Rest self hosted certificate secured service returns 401 unauthorizedWCF Rest 自托管证书安全服务返回 401 未经授权
【发布时间】:2020-04-17 22:30:18
【问题描述】:

我想创建一个 WCF 控制台自托管 - 带有证书的服务器端身份验证 - 休息服务。

我在实际调用服务时遇到了问题,因为我总是收到 401 Unauthorized 响应。

由于这是一种“单向”身份验证,其中服务向客户端标识自己,为什么我总是会作为客户端应用程序获得 401 未经授权的响应(好像客户端需要向服务标识自己以访问它的资源?)

谁能帮我查明我哪里出错了,以及如何让我的客户服务通信最终正常工作?

简单服务合同:

[ServiceContract]
public interface IService1
{

    [OperationContract]
    [WebGet(UriTemplate = "Students", ResponseFormat = WebMessageFormat.Json, RequestFormat = WebMessageFormat.Json)]
    List<Student> GetStudentDetails();

    // TODO: Add GetMethod with parameter 
    [OperationContract]
    [WebGet(UriTemplate = "Student/{id}", ResponseFormat = WebMessageFormat.Json, RequestFormat = WebMessageFormat.Json)]
    Student GetStudentWithId(string id);

    //TODO: add one post method here
    [OperationContract]
    [WebInvoke(Method="POST", UriTemplate = "Student/New", ResponseFormat = WebMessageFormat.Json, RequestFormat = WebMessageFormat.Json)]
    void NewStudent(Stream stream);

    //TODO: add one post method here
    [OperationContract]
    [WebInvoke(Method = "POST", UriTemplate = "Student/NewS", ResponseFormat = WebMessageFormat.Json, RequestFormat = WebMessageFormat.Json)]
    void NewStudentS(Student stream);
}

// Use a data contract as illustrated in the sample below to add composite types to service operations.
[DataContract]
public class Student
{
    [DataMember]
    public int ID
    {
        get;
        set;
    }

    [DataMember]
    public string Name
    {
        get;
        set;
    }
}

服务实现:

public class Service1 : IService1
{
    public List<Student> GetStudentDetails()
    {
        return new List<Student>() { new Student() { ID = 1, Name = "Goran" } };
    }

    public Student GetStudentWithId(string id)
    {
        return new Student() { ID = Int32.Parse(id), Name = "Ticbra RanGo" };
    }

    public void NewStudent(Stream stream)
    {
        using(stream)
        {
            // convert Stream Data to StreamReader
            StreamReader reader = new StreamReader(stream);
            var dataString = reader.ReadToEnd();

            Console.WriteLine(dataString);
        }
    }

    public void NewStudentS(Student student)
    {
        Console.WriteLine(student.Name);
    }
}

我的控制台应用程序运行该服务:

static void Main(string[] args)
    {
        Uri httpUrl = new Uri("https://localhost:8080/TestService");
        using (WebServiceHost host = new WebServiceHost(typeof(Service1)))
        {
             // Create the binding.  
            WSHttpBinding binding = new WSHttpBinding();
            binding.Name = "binding1";
            binding.Security.Mode = SecurityMode.Transport;


            host.AddServiceEndpoint(typeof(IService1), binding, httpUrl/*"rest"*/);
            // Enable metadata publishing.
            ServiceMetadataBehavior smb = new ServiceMetadataBehavior();
            smb.HttpGetEnabled = true;
            host.Description.Behaviors.Add(smb);              

            //Add host certificate to service wcf for identification
            host.Credentials.ServiceCertificate.SetCertificate(
                StoreLocation.LocalMachine,
                StoreName.My,
                X509FindType.FindBySubjectName,
                "localhost");

            host.Open();

            foreach (ServiceEndpoint se in host.Description.Endpoints)
                Console.WriteLine("Service is host with endpoint " + se.Address);

            Console.WriteLine("Host is running... Press < Enter > key to stop");
            Console.ReadLine();
            host.Close();
        }

        //Console.WriteLine("ASP.Net : " + ServiceHostingEnvironment.AspNetCompatibilityEnabled);
        Console.WriteLine("Host is running... Press < Enter > key to stop");
        Console.ReadLine();
    }

请注意,我通过 KeyStore Explorer 创建了证书根和子证书,并将它们适当地放置在 Windows 上的个人和受信任的根证书中。

我通过 CMD 将服务器证书映射到端口 8080。

我使用的客户端是 SOAPUI,以及我的手动编码客户端。 客户代码:

        WebRequest request = HttpWebRequest.Create(urlTextBox.Text);

        var webResponse = request.GetResponse();

        using (Stream dataStream = webResponse.GetResponseStream())
        {
            // Open the stream using a StreamReader for easy access.  
            StreamReader reader = new StreamReader(dataStream);
            // Read the content.  
            string responseFromServer = reader.ReadToEnd();
            // Display the content.  
            Console.WriteLine(responseFromServer);
            HttpResonseTextBox.Text = responseFromServer;
        }

最好的问候,并在此先感谢您

【问题讨论】:

    标签: c# wcf authentication ssl-certificate webhttpbinding


    【解决方案1】:

    WSHttpBinding 绑定 = new WSHttpBinding();
    binding.Name = "binding1";
    binding.Security.Mode = SecurityMode.Transport;

    以上代码以windows认证为客户端认证方式。

            //this is the default value unless we specify it manually.
        binding.Security.Transport.ClientCredentialType = HttpClientCredentialType.Windows;

    因此,我们应该通过提供 Windows 凭据在客户端调用它。 此外,这种 WCF 服务不称为 Rest API,它称为 SOAP Web 服务。我们通常使用客户端代理来调用它。
    https://docs.microsoft.com/en-us/dotnet/framework/wcf/accessing-services-using-a-wcf-client
    然后设置windows凭据并调用该方法。 

                ServiceReference1.ServiceClient client = new ServiceReference1.ServiceClient();
            //these are windows accounts on the server-side.
            client.ClientCredentials.Windows.ClientCredential.UserName = "administrator";
            client.ClientCredentials.Windows.ClientCredential.Password = "123456";
            var result = client.Test();
            Console.WriteLine(result);

    如果我们要创建一个rest服务,请使用Webhttpbinding创建服务。 

                WebHttpBinding binding = new WebHttpBinding();
            binding.Security.Mode = WebHttpSecurityMode.Transport;
            //this is default value. 
            binding.Security.Transport.ClientCredentialType = HttpClientCredentialType.None;

    同样,我们需要将证书绑定到特定端口,以使传输层安全可用。

    netsh http add sslcert ipport=0.0.0.0:8000 certash=0000000000003ed9cd0c315bbb6dc1c08da5e6 appid={00112233-4455-6677-8899-AABBCCDDEEFF}

    Netsh Http 命令。
    https://docs.microsoft.com/en-us/dotnet/framework/wcf/feature-details/how-to-configure-a-port-with-an-ssl-certificate
    因此,验证客户端的安全模式为HttpClientCredentialType.None。我们不需要在客户端提供 Windows 凭据。
    如果有什么可以帮助的,请随时告诉我。

    【讨论】:

    • 嗨,亚伯拉罕。感谢您的详细回复。似乎问题出在我使用的绑定类型错误并且未将 ClientCredentialType 设置为“无”。非常感谢您的帮助!
    【解决方案2】:

    您将证书映射到端口 8080 以使 https 协议正常工作。 到现在为止都很好。

    但是 401 错误意味着服务需要来自客户端的一些凭据(如果有,则会引发 401 错误)

    请尝试删除(或评论)SetCertificate 方法调用,如下所示

               //Add host certificate to service wcf for identification
            //host.Credentials.ServiceCertificate.SetCertificate(
            //    StoreLocation.LocalMachine,
            //    StoreName.My,
            //    X509FindType.FindBySubjectName,
            //    "localhost");

    并尝试它是否有效。只是为了检查

    带有证书的 Wcf 传输安全要求客户端也指定证书like it is documented

    我不确定您是否可以使用带有HttpWebRequest 的soap 协议使用带有证书身份验证的wcf 服务。它需要使用带有SetCertificate 方法的wcf 客户端:

    // The client must specify a certificate trusted by the server.  
cc.ClientCredentials.ClientCertificate.SetCertificate(  
    StoreLocation.CurrentUser,  
    StoreName.My,  
    X509FindType.FindBySubjectName,  
    "contoso.com");

    (这是文档中的示例)

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 2023-04-03
      • 1970-01-01
      • 2012-04-29
      • 2011-01-13
      • 1970-01-01
      • 2019-07-27
      • 2023-03-09
      • 1970-01-01
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode