La WCF: Ajout de Nonce pour élément usernametoken

Je suis en train d'essayer de vous connecter à un service web, écrit en Java, mais il y a quelque chose que je ne peux pas comprendre.

En utilisant WCF et un customBinding, presque tout semble aller pour le mieux, sauf une partie du message de SAVON, car il manque le Nonce et a Créé une partie des nœuds.
Évidemment, je suis en manque de quelque chose, donc si vous pouviez me pointer dans la bonne direction, ce serait très apprécié.

Voici la liaison personnalisée:

<binding name="CustomHTTPBinding">
    <security includeTimestamp="false" authenticationMode="UserNameOverTransport" defaultAlgorithmSuite="Basic256" requireDerivedKeys="True"
              messageSecurityVersion="WSSecurity10WSTrustFebruary2005WSSecureConversationFebruary2005WSSecurityPolicy11BasicSecurityProfile10">
    </security>
    <textMessageEncoding maxReadPoolSize="211" maxWritePoolSize="2132" messageVersion="Soap11"
                         writeEncoding="utf-8"/>
    <httpsTransport />
</binding>

Et voici la partie pertinente du message:

<o:Security s:mustUnderstand="1" xmlns:o="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd">
    <o:UsernameToken u:Id="uuid-c306efd1-e84c-410e-a2ad-1046b368582e-1">
        <o:Username>
            <!-- Removed-->
        </o:Username>
        <o:Password>
            <!-- Removed-->
        </o:Password>
    </o:UsernameToken>
</o:Security>

Et c'est comment il devrait ressembler à:

<wsse:Security xmlns:wsse="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd" soapenv:mustUnderstand="1">
 <wsse:UsernameToken xmlns:wsu="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd" wsu:Id="UsernameToken-25763165">
    <wsse:Username>..</wsse:Username>
    <wsse:Password Type="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#PasswordDigest">..</wsse:Password>
    <wsse:Nonce>6ApOnLn5Aq9KSH46pzzcZA==</wsse:Nonce>
    <wsu:Created>2009-05-13T18:59:23.309Z</wsu:Created>
 </wsse:UsernameToken>
</wsse:Security>

La question est donc: Comment ai-je pu introduire le Nonce et a Créé les éléments à l'intérieur de la partie sécurité?

  • Avez-vous trouver une solution? Je serais intéressé de savoir.
  • Dans la fin, nous avons utilisé WSE 2, afin de contourner les problèmes que nous avons d'avoir, au lieu de la WCF. Là, nous avons ajouté une stratégie personnalisée pour appliquer l'élément usernametoken à la demande de service et que c'était à elle que je pense.
InformationsquelleAutor Adam Vigh | 2009-05-22
  1. 21

    Pour créer le nonce, j'ai dû changer un peu les choses

    Premier, a ajouté une liaison personnalisée dans ma config

    <system.serviceModel>
    <bindings>
      <customBinding>
        <binding name="myCustomBindingConfig">
          <security includeTimestamp="false" 
                    authenticationMode="UserNameOverTransport" 
                    defaultAlgorithmSuite="Basic256" 
                    requireDerivedKeys="true"
                    messageSecurityVersion="WSSecurity10WSTrustFebruary2005WSSecureConversationFebruary2005WSSecurityPolicy11BasicSecurityProfile10">
          </security>
          <textMessageEncoding messageVersion="Soap11"></textMessageEncoding>
          <httpsTransport maxReceivedMessageSize="2000000000" />
        </binding>
      </customBinding>
    </bindings>
</system.serviceModel>

<client>
    <endpoint address="https://..." [other tags] 
        binding="customBinding" bindingConfiguration="OrangeLeapCustomBindingConfig"/>
</client>

    Alors, prenez ce code trouvé ici: http://social.msdn.microsoft.com/Forums/en-US/wcf/thread/4df3354f-0627-42d9-b5fb-6e880b60f8ee
    et de le modifier pour créer le nonce (juste un hasard de hachage, codé en base 64)

    protected override void WriteTokenCore(System.Xml.XmlWriter writer, System.IdentityModel.Tokens.SecurityToken token)
{
Random r = new Random();
string tokennamespace = "o";
DateTime created = DateTime.Now;
string createdStr = created.ToString("yyyy-MM-ddTHH:mm:ss.fffZ");
string nonce = Convert.ToBase64String(Encoding.ASCII.GetBytes(SHA1Encrypt(created + r.Next().ToString())));
System.IdentityModel.Tokens.UserNameSecurityToken unToken = (System.IdentityModel.Tokens.UserNameSecurityToken)token;
writer.WriteRaw(String.Format(
"<{0}:UsernameToken u:Id=\"" + token.Id + "\" xmlns:u=\"http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd\">" +
"<{0}:Username>" + unToken.UserName + "</{0}:Username>" +
"<{0}:Password Type=\"http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-username-token-profile-1.0#PasswordText\">" +
unToken.Password + "</{0}:Password>" +
"<{0}:Nonce EncodingType=\"http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#Base64Binary\">" +
nonce + "</{0}:Nonce>" +
"<u:Created>" + createdStr + "</u:Created></{0}:UsernameToken>", tokennamespace));
}
protected String ByteArrayToString(byte[] inputArray)
{
StringBuilder output = new StringBuilder("");
for (int i = 0; i < inputArray.Length; i++)
{
output.Append(inputArray[i].ToString("X2"));
}
return output.ToString();
}
protected String SHA1Encrypt(String phrase)
{
UTF8Encoding encoder = new UTF8Encoding();
SHA1CryptoServiceProvider sha1Hasher = new SHA1CryptoServiceProvider();
byte[] hashedDataBytes = sha1Hasher.ComputeHash(encoder.GetBytes(phrase));
return ByteArrayToString(hashedDataBytes);
}
    • Merci pour la réponse. Je ne suis pas en position de lui donner un aller pour le moment, mais cela semble ok, donc je vais l'accepter.
    • Peut-être un vieux la réponse, mais il peut avoir résolu un problème, je vais avoir, parler à un Java boutique web du service! Merci! La seule pièce manquante a été dans le Microsoft page liée, après l'ajout du comportement personnalisé, le nom d'utilisateur et le mot de passe doivent être définis (dans le service.ClientCredentials.Champ nom d'utilisateur)
    • Je crois que je suis en manque qu'une pièce manquante. Je suis en train de faire les suivants: mhsClient.ChannelFactory.Endpoint.Behaviors.Remove<ClientCredentials>(); mhsClient.ChannelFactory.Endpoint.Behaviors.Add(new CustomCredentials()); mhsClient.ClientCredentials.UserName.UserName = "username"; mhsClient.ClientCredentials.UserName.Password = "password"; et j'obtiens l'erreur suivante: "Text cannot be written outside the root element".
    • J'obtiens la même erreur. À tout hasard vous fixe et rappelez-vous ce que vous avez fait?
    • Le service, j'ai été puiser dans n'ai pas à me plaindre de manquer le nonce, alors je l'ai laissée. J'ai décrit les détails de mon travail ici.
    • Ah. Malheureusement j'en ai besoin, mais merci pour l'article! Honnêtement, je n'attends pas de réponse, et certainement pas une si rapide 😀
    • Pour quelqu'un avec le même problème, l'approche (avec l'écrivain.WriteStartElement) à partir travaillaient ici: msdn.microsoft.com/en-us/library/...

    InformationsquelleAutor Bron Davies
  2. 11

    J'ai eu le même problème. À la place de la coutume jeton sérialiseur j'ai utilisé un MessageInspector pour ajouter la bonne UsernameToken dans le BeforeSendRequest méthode. J'ai ensuite utilisé un comportement personnalisé pour appliquer le correctif.

    L'ensemble du processus est documenté (avec un projet de démonstration) de mon blog Soutenir le WS-I Basic Profile hachage de Mot de passe dans un WCF client proxy. Alternativement, vous pouvez simplement lire le PDF.

    Si vous voulez suivre mes progrès grâce à la solution, vous le trouverez sur StackOverflow intitulé, "Erreur dans WCF client de consommer de l'Axe 2 service web avec WS-Security élément usernametoken schéma d'authentification par mot de passe digest":

    • Merci, vous avez sauvé ma journée.
    • ravi de vous aider. C'était une douleur de se mettre au travail alors j'ai pensé que je vous ferais partager mon expérience.
    InformationsquelleAutor Rebecca
  3. 7

    Cet article fournit un exemple avec l'intégration complète de l'élément usernametoken Profil avec digéré le mot de passe de sécurité WCF pipeline.

    • Et cette réponse me conduire à être en mesure d'utiliser un condensé mot de passe 🙂
    InformationsquelleAutor Ladislav Mrnka
  4. 7

    Il est intéressant de souligner que Rick Strahl fait un post de blog (auquel il fait référence à cette question), où il explique tout très clairement, et propose des solutions pour à la fois juste Mot de passe et aussi mot de passe digest.

    Je post parce que j'ai trouvé cet article à l'origine, ne pouvait pas vraiment le suivre, et trouvé de Rick post beaucoup plus tard. Cela peut sauver certaines personnes un certain temps.

    WCF WSSecurity et WSE Nonce Authentification

    • Les réponses ci-dessus, laisser quelques étapes SAVON pour les débutants, cet article explique étape par étape la façon de travailler de cette et explique chaque étape le long du chemin.
    • C'est exactement ce que je cherchais. La accepté de répondre ici n'explique pas où mettre le code, mais le billet de blog par Rick Strahl. Upvoting cette réponse.
    InformationsquelleAutor Matt Kemp
  5. -1

    J'ai également eu à mettre un UserNameHeader segment dans le message SOAP en-tête:

    <soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:urn="urn:bar:services" xmlns:efm="urn:bar:services">
<soapenv:Header>
<efm:UserNameHeader>
<UserName>foouser</UserName>
<Password>foopass</Password>
</efm:UserNameHeader>
</soapenv:Header>
<soapenv:Body>
<urn:GetUserList/>
</soapenv:Body>
</soapenv:Envelope>

    Cela a été accompli avec un message personnalisé en-tête:

    public class UserNamePasswordHeader : MessageHeader
{
private readonly string _serviceUserEmail;
private readonly string _serviceUserPassword;
public UserNamePasswordHeader(string serviceUserEmail, string serviceUserPassword)
{
this._serviceUserEmail = serviceUserEmail;
this._serviceUserPassword = serviceUserPassword;
}
public override string Name
{
get { return "UserNameHeader"; }
}
public override string Namespace
{
get { return "urn:bar:services"; }
}
protected override void OnWriteHeaderContents(XmlDictionaryWriter writer, MessageVersion messageVersion)
{
writer.WriteElementString("UserName", _serviceUserEmail);
writer.WriteElementString("Password", _serviceUserPassword);
}
}

    D'autres balises, telles que les Nonce et Created, peuvent facilement être ajoutés.

    La classe est utilisée comme suit:

    var service = new BarServiceClient();
service.ClientCredentials.ClientCertificate.Certificate = MessageSigningCertificate;
using (new OperationContextScope(service.InnerChannel))
{
OperationContext.Current.OutgoingMessageHeaders.Add(
new UserNamePasswordHeader(serviceUserEmail, serviceUserPassword));
try
{
var response = service.GetUserList();
return response;
}
finally
{
service.Close();
}
}

    Remarque: MessageSigningCertificate est un X. 509 certificate, je l'ai lu à partir d'un fichier:

    private static X509Certificate2 LoadCertificateFromFile(string pfxFilePath, string privateKeyPassword)
{
//Load the certificate from a file, specifying the password
var certificate = new X509Certificate2(pfxFilePath, privateKeyPassword);
return certificate;
}
    InformationsquelleAutor Handcraftsman