Comment utiliser WS-Security et l'Accès élément usernametoken à partir d'un Service Web ASMX?

Ok, donc nous avons un héritage service web ASMX qui est actuellement en cours d'exécution .NET 3.5 et nous sommes à l'aide de Visual Studio 2008.

Le problème est, nous avons besoin d'ajouter l'authentification et souhaitez profiter de la WS-Security modèle sans casser des internes existants les clients qui n'ont pas besoin de s'authentifier à l'heure actuelle.

Nous avons pensé à l'ajout d'en-têtes personnalisés, mais ce n'est pas très WS-Security-ish. Aussi la mise à niveau de la WCF, tandis qu'un objectif à long terme, n'est pas viable à court terme.

Est-il un moyen d'accéder à l'élément usernametoken (à condition qu'il soit transmis par le client) indirectement dans l'en-tête soap de VS2008 service web ASMX?

"alors qu'un objectif à long terme, n'est pas viable à court terme", avez-vous couru court prototype pour valider les efforts? Je serais prêt à parier qu'une migration est moins d'effort que la mise en œuvre de la coutume des composants de l'infrastructure. ReSharper -> retirez-les interfaces -> un peu d'aide de la part du Dr "Recherche & Remplacer"... juste en pensant à voix haute.

OriginalL'auteur James Michael Hare | 2009-12-08

  1. 7

    Vous pouvez essayer de Web Services Enhancements (WSE) 3.0. Cette version ajoute le support pour un vieux version de WS-Security (la version de 2004, je pense - WCF prend en charge l'2005 et versions 2007). Il se trouve sur le dessus de ASMX sans déranger, et encore travailler .NET 3.5 /WS2008.

    Maintenant pour les inconvénients:

    • VS2008 ne prend pas en charge l'ajout ou la mise à jour WSE web de références dans le code client. Il se fera un plaisir de créer la normale ASMX classe proxy, mais pas extra WSE classe proxy qui est nécessaire pour l'authentification. Tout existant WSE proxy code ne compile OK, mais sera supprimé si vous essayez de mettre à jour la référence web dans l'IDE. Si vous possédez une copie de VS2005, vous pouvez l'utiliser pour maintenir ou au moins créer le site web de référence sur le côté client.
    • Autant que je sache, le WSE mise en œuvre de WS-Security n'est pas 100% compatible avec la WCF implémentations. Vous aurez besoin de faire quelques tests de compatibilité de votre propre avec WCF pour s'en assurer.

    Exemple

    En spécifiant des informations d'identification sur le client:

    void SetUsernameCredential(WebServicesClientProtocol service, string userName, string password) {
    UsernameToken token = new UsernameToken(userName, password, PasswordOption.SendHashed);
    service.SetClientCredential(token);
}

    L'authentification des informations d'identification sur le serveur:

    public class MyUsernameTokenManager : UsernameTokenManager {
    protected override string AuthenticateToken(UsernameToken token) {
        //Authenticate here.
        //If succeess, return an authenticated IPrincipal and the user's password as shown.
        //If failure, throw an exception of your choosing.
        token.Principal = principal;
        return password;
    }
}

    Lecture des informations d'identification sur le serveur:

    IPrincipal principal = RequestSoapContext.Current.IdentityToken.Principal;
    Je crois que ma réponse est utile, dans les limites imposées par la question. Je n'ai jamais dit que je l'a recommandé pour les nouveaux développements.
    Je considère que "nous avons besoin d'ajouter une authentification" "nouveau développement" dans ce contexte. Le -1 est pour montrer l'OP comment mettre sa tête dans un nœud coulant.
    Jean-pourquoi ne pas vous être utile et de proposer une meilleure façon de le faire.

    OriginalL'auteur Christian Hayter