WCF 自定义验证器：如何从自定义验证器初始化“用户”对象

Question

我有一个有效的自定义 UserNamePasswordValidator 调用我的 Oracle DB。

该类派生自 System.IdentityModel.Selectors.UserNamePasswordValidator，Validate() 方法返回 void。

我从数据库加载我的用户对象，一旦密码被验证，我想隐藏我的“用户”对象，以便服务在开展业务时可以访问它。在 ASP.NET / Java 领域，我会将其存储到会话中，或者可能是我的整个控制器类。如何从 WCF 中的验证器执行此操作？

或者，换句话说，在 WCF 领域中为服务设置自定义用户域对象的最佳实践是什么。

更新：这就是我解决它的方法。我在验证期间缓存了 User 对象，然后在 AuthorizatinPolicy 步骤中访问它。

  // this gets called after the custom authentication step where we loaded the User
  public bool Evaluate(EvaluationContext evaluationContext, ref object state)
  {
     // get the authenticated client identity
     IIdentity client = GetClientIdentity(evaluationContext);

     User user;
     OraclePasswordValidator.users.TryGetValue(client.Name, out user);
     if(user != null) {
        // set the custom principal
        evaluationContext.Properties["Principal"] = user;
        return true;
     }

     return false;
  }

Answer 1

我不是 WCF 专家，但从我目前阅读和实施的内容来看，“正确”的做法是使用 Validator 来验证用户，然后实现IAuthorizationPolicy 来执行实际的授权。因此，在授权策略中，您将在当前线程上设置自定义主体。

为了能够转发来自用户名/密码验证的信息，您可以实现一个继承自 UserNameSecurityTokenAuthenticator 的安全令牌验证器。 SecurityTokenAuthenticator 将首先调用验证器，如果验证成功，它可以添加您的自定义授权策略并通过构造函数将用户信息发送到策略。这句话很长：

public class CustomUsernameSecurityTokenAuthenticator : UserNameSecurityTokenAuthenticator
{
    protected override bool CanValidateTokenCore(System.IdentityModel.Tokens.SecurityToken token)
    {
        return (token is UserNameSecurityToken);
    }

    protected override ReadOnlyCollection<IAuthorizationPolicy> ValidateTokenCore(SecurityToken token)
    {
        var authorizationPolicies = new List<IAuthorizationPolicy>();

        try
        {
            var userNameToken = token as UserNameSecurityToken;
            new CustomUserNameValidator().Validate(userNameToken.UserName, userNameToken.Password);

            var claims = new DefaultClaimSet(ClaimSet.System, new Claim(ClaimTypes.Name, userNameToken.UserName, Rights.PossessProperty));

            authorizationPolicies.Add(new CustomAuthorizationPolicy(claims));
        }
        catch (Exception)
        {
            authorizationPolicies.Add(new InvalidAuthorizationPolicy());
            throw;
        }
        return authorizationPolicies.AsReadOnly();
    }
}

这里有一篇文章对所涉及的类进行了更多描述； http://blogs.msdn.com/card/archive/2007/10/04/how-identity-providers-can-show-custom-error-messages-in-cardspace.aspx

Answer 2

我也有同样的问题。

我正在使用 API 连接到我的底层 Oracle 数据库，并通过打开连接来“验证”登录详细信息。

然后我想将此连接存储在某处（很简单，我将为所有不同的用户创建一个连接池），但还创建一个代表此用户的自定义身份和主体，以便一旦它到达我的自定义 IAuthorizationPolicy，它不需要重新加载此信息。

我做了很多搜索，但没有找到任何东西，所以我的计划是这样做：

1. 通过打开 API 连接在自定义 UserNamePasswordValidator 中验证登录详细信息。

2. 将打开的连接存储在用户名下的连接池中。

3. 当我的自定义 IAuthorizationPolicy.Evaluate() 被调用时，我将查看提供的通用标识：

   IIdentity GetClientIdentity(EvaluationContext evaluationContext)
   {
       object obj;
       if (!evaluationContext.Properties.TryGetValue("Identities", out obj))
           throw new Exception("No Identity found");
   
          IList<IIdentity> identities = obj as IList<IIdentity>;
          if (identities == null || identities.Count <= 0)
             throw new Exception("No Identity found");
   
          return identities[0];
      }
   

（对不起，我无法摆脱这种糟糕的 HTML 转义）

4. 然后我根据 IIdentity.Name 从池中获取一个连接，使用此连接从数据库加载用户特定数据并将其存储在我在评估上下文中设置的自定义身份和主体中：

   public bool Evaluate(EvaluationContext evaluationContext, ref object state)
   {
       IIdentity identity = GetClientIdentity(evaluationContext);
       if (identity == null)
           throw new Exception();
   
           // These are my custom Identity and Principal classes
           Identity customIdentity = new Identity();
           Principal customPrincipal = new Principal(customIdentity);
           // populate identity and principal as required
           evaluationContext.Properties["Principal"] = customPrincipal;
           return true;
       }
   

然后我应该可以在需要时使用 System.Threading.Thread.CurrentPrincipal 或 CurrentIdentity 访问我的自定义身份和主体。

希望这在某种程度上有所帮助；我不确定这是不是最好的解决方法，但这是我迄今为止想出的最好的方法......

史蒂夫