如何解决为什么 IIS 中的授权规则不会限制对我的 WCF 服务的访问?
我有一个独立的 WCF 服务托管在 IIS 10 中。我想将对该 Web 服务的访问权限限制为选定的一组用户。通过在 IIS 中执行以下操作,我能够为 Web 应用程序执行此操作:
- 身份验证:仅限 Windows 身份验证(禁用匿名身份验证)
- 授权规则:允许预定义组(即角色)
但是,当我对 Web 服务执行上述步骤并在其 web.config 中更改 clientCredentialType="Windows"
时,它仍然允许域中的任何用户与其对话。我错过了一些明显的东西吗?在配置授权方面,Web 服务的功能是否与 Web 应用程序不同?鉴于我的设置,我希望只有 MyTestGroup 中的用户能够与网络服务对话,而所有其他人都获得 401 - 未经授权。
顺便说一句,我尝试设置“拒绝所有人”规则,但域用户仍然可以与网络服务交谈,所以我觉得授权设置没有以某种方式生效。寻找有关此的任何见解。
以下是相关的 web.config 内容:
<system.serviceModel>
<services>
<service name="StudyManagement.StudyManagement">
<endpoint address="" binding="basicHttpBinding" bindingConfiguration="secureHttpBinding" name="StudyManagement" contract="StudyManagement.IStudyManagement" />
</service>
</services>
<behaviors>
<serviceBehaviors>
<behavior>
<serviceMetadata httpGetEnabled="false" httpsGetEnabled="true" />
<serviceDebug includeExceptionDetailInFaults="true" />
</behavior>
</serviceBehaviors>
</behaviors>
<protocolMapping>
<add binding="basicHttpsBinding" scheme="https" />
</protocolMapping>
<bindings>
<basicHttpBinding>
<binding maxReceivedMessageSize="1048576" />
<binding name="secureHttpBinding">
<security mode="Transport">
<transport clientCredentialType="Windows" />
</security>
</binding>
</basicHttpBinding>
</bindings>
<serviceHostingEnvironment aspNetCompatibilityEnabled="false" minFreeMemoryPercentageToActivateService="0" />
</system.serviceModel>
<system.webServer>
<modules runAllManagedModulesForAllRequests="true" />
<directoryBrowse enabled="false" />
<security>
<authorization>
<remove users="*" roles="" verbs="" />
<add accessType="Allow" users="" roles="MyAllowGroup" />
</authorization>
</security>
</system.webServer>
解决方法
您可以参考此website重新创建授权规则。另外wcf服务的授权可以使用ServiceAuthenticationmanager,examples and tutorials.
,以下 Microsoft 文档有助于回答我的问题:
重要提示:
ASP.NET HTTP 运行时处理 ASP.NET 请求,但不参与处理发往 WCF 服务的请求,即使这些服务与 ASP 托管在同一个 AppDomain 中。网内容。相反,WCF 服务模型拦截发往 WCF 服务的消息,并通过 WCF 传输/通道堆栈路由它们。
在 AppDomain 中,由 HTTP 运行时实现的功能适用于 ASP.NET 内容,但不适用于 WCF。 ASP.NET 应用程序平台的许多 HTTP 特定功能不适用于托管在包含 ASP.NET 内容的 AppDomain 内的 WCF 服务。这些功能的示例包括:
-
基于文件的授权:WCF 安全模型在决定是否授权服务请求时不允许将访问控制列表 (ACL) 应用于服务的 .svc 文件.
-
基于配置的 URL 授权:同样,WCF 安全模型不遵守 System.Web 的配置元素中指定的任何基于 URL 的授权规则。 如果服务驻留在由 ASP.NET 的 URL 授权规则保护的 URL 空间中,WCF 请求将忽略这些设置。
解决方案:
通过配置 web.config 使用 ASP.NET 兼容模式:
<system.serviceModel>
<serviceHostingEnvironment aspNetCompatibilityEnabled="true" />
</system.serviceModel>
与默认的并行配置不同,WCF 托管基础结构拦截 WCF 消息并将它们路由出 HTTP 管道,在 ASP.NET 兼容模式下运行的 WCF 服务完全参与 ASP.NET HTTP 请求生命周期。在兼容模式下,WCF 服务通过 IHttpHandler 实现使用 HTTP 管道,类似于处理 ASPX 页面和 ASMX Web 服务请求的方式。因此,WCF 在以下 ASP.NET 功能方面的行为与 ASMX 相同:
- 基于文件的授权:在 ASP.NET 兼容模式下运行的 WCF 服务可以通过将文件系统访问控制列表 (ACL) 附加到服务的 .svc 文件来确保安全。
- 可配置的 URL 授权:当 WCF 服务在 ASP.NET 兼容模式下运行时,会为 WCF 请求强制执行 ASP.NET 的 URL 授权规则。
我建议您阅读整篇文章以获取更多信息。这是一篇简短而有用的读物。
感谢@Shiraz Bhaiji 提供关于 WCF Authorization using IIS and ACLs 的文章参考。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。