使用从 STS 分配的令牌调用 WCF 服务答案

【问题标题】：Using tokens assigned from an STS to call a WCF service使用从 STS 分配的令牌调用 WCF 服务
【发布时间】：2011-07-13 15:48:45
【问题描述】：

我整天都在盯着这个看，但无济于事，而且我没有想法。 IP-STS 处理登录，然后将其传递给 RP-STS，RP-STS 用声明填充令牌，然后传递到网站。这工作正常。我在 IP-STS 上有一些 WCF 功能，例如更改密码/重置密码，需要访问它们。阅读后，我应该能够将已经分配的令牌发送给 WCF，以确保用户通过身份验证。据我所知，它正在发送令牌，但不正确，也不是我想要的方式，因为它目前似乎需要一个用户名。

理想情况下我希望它获取分配给用户的令牌，而不必重新请求或重新创建任何东西，并且绝对不需要用户名/密码。

我目前遇到的错误是： 从另一方收到不安全或不正确安全的故障。故障代码和细节见内部FaultException。

详情： 无法处理该消息。这很可能是因为“http://schemas.xmlsoap.org/ws/2005/02/trust/RST/Issue”操作不正确，或者因为消息包含无效或过期的安全上下文令牌，或者因为不匹配绑定之间。如果服务由于不活动而中止通道，则安全上下文令牌将无效。为防止服务过早中止空闲会话，请增加服务端点绑定的接收超时。

这是我的网络配置中的相关位。

客户端 web.config

<system.serviceModel>
<bindings>
  <customBinding>
    <binding name="UsernameBinding">          <security authenticationMode="UserNameForCertificate"                  requireSecurityContextCancellation ="false"                  requireSignatureConfirmation="false"                  messageProtectionOrder ="SignBeforeEncryptAndEncryptSignature"                  requireDerivedKeys="true">
      </security>
      <httpTransport/>
    </binding>
  </customBinding>
  <wsFederationHttpBinding>
    <binding name="HTTPEndpoint" closeTimeout="00:10:00" openTimeout="00:10:00"
      receiveTimeout="00:10:00" sendTimeout="00:10:00" bypassProxyOnLocal="false"
      transactionFlow="false" hostNameComparisonMode="StrongWildcard"
      maxBufferPoolSize="524288" maxReceivedMessageSize="65536" messageEncoding="Text"
      textEncoding="utf-8" useDefaultWebProxy="true">
      <security mode="Message">
        <message issuedTokenType="http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLV1.1"   negotiateServiceCredential="false">              <claimTypeRequirements>

            <add claimType="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name" isOptional="false" />
          </claimTypeRequirements>

          <issuer address="http://localhost:13422/MembershipService" bindingConfiguration="UsernameBinding" binding="customBinding">
            <identity>
              <certificateReference findValue="STSTestCert" x509FindType="FindBySubjectName" storeLocation="CurrentUser" storeName="TrustedPeople" />
            </identity>
          </issuer>
        </message>

      </security>
    </binding>
  </wsFederationHttpBinding>
</bindings>

<behaviors>
  <!-- Credentials configuration -->
  <endpointBehaviors>
    <behavior name="ServiceBehavior">
      <clientCredentials>

        <clientCertificate findValue="STSTestCert" storeLocation="CurrentUser" storeName="TrustedPeople" x509FindType="FindBySubjectName" />
        <serviceCertificate>
          <defaultCertificate findValue="STSTestCert" storeLocation="CurrentUser" storeName="TrustedPeople" x509FindType="FindBySubjectName"/>
          <authentication certificateValidationMode="PeerOrChainTrust"  />
        </serviceCertificate>

      </clientCredentials>
    </behavior>
  </endpointBehaviors>
</behaviors>

<client>
  <endpoint address="http://localhost:13422/MembershipService"
    binding="wsFederationHttpBinding" bindingConfiguration="HTTPEndpoint"
    contract="MembershipService.IAccountMembershipService" name="HTTPEndpoint" behaviorConfiguration="ServiceBehavior">
    <identity>
      <dns value="localhost"/>
    </identity>
  </endpoint>
</client>

服务端：

<system.serviceModel>

<serviceHostingEnvironment multipleSiteBindingsEnabled="true" aspNetCompatibilityEnabled="true">
  <serviceActivations>
    <add relativeAddress="IAccountMembershipService.svc" service="AccountMembershipService" factory="System.ServiceModel.Activation.WebServiceHostFactory" />
  </serviceActivations>
</serviceHostingEnvironment>

<bindings>
  <wsHttpBinding>
    <binding name="federationBinding" receiveTimeout="00:10:00" sendTimeout="00:10:00" closeTimeout="00:10:00" openTimeout="00:10:00">

      <security mode="Message">
        <message negotiateServiceCredential="true" />
      </security>
    </binding>

  </wsHttpBinding>
  <wsFederationHttpBinding>
    <binding name="federationBinding" closeTimeout="00:10:00" openTimeout="00:10:00"
      receiveTimeout="00:10:00" sendTimeout="00:10:00" bypassProxyOnLocal="false"
      transactionFlow="false" hostNameComparisonMode="StrongWildcard"
      maxBufferPoolSize="524288" maxReceivedMessageSize="65536" messageEncoding="Text"
      textEncoding="utf-8" useDefaultWebProxy="true">

      <security mode="Message">
        <message issuedTokenType="http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLV1.1" negotiateServiceCredential="false">
          <claimTypeRequirements>

            <add claimType="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name" isOptional="false" />
          </claimTypeRequirements>

          <issuer address="http://localhost:13422/MembershipService" bindingConfiguration="UsernameBinding" binding="customBinding">
            <identity>
              <certificateReference findValue="STSTestCert" x509FindType="FindBySubjectName" storeLocation="CurrentUser" storeName="TrustedPeople" />
            </identity>
          </issuer>
        </message>
      </security>
    </binding>
  </wsFederationHttpBinding>
</bindings>


<behaviors>
  <serviceBehaviors>
    <behavior name="serviceBehavior">
      <serviceMetadata httpGetEnabled="true" />

      <serviceCredentials>
        <serviceCertificate findValue="CN=STSTestCert" storeLocation="LocalMachine" storeName="My" x509FindType="FindBySubjectDistinguishedName"/>

      </serviceCredentials>
    </behavior>
  </serviceBehaviors>
</behaviors>

<extensions>
  <behaviorExtensions>
    <!-- This behavior extension will enable the service host to be Claims aware -->
    <add name="federatedServiceHostConfiguration" type="Microsoft.IdentityModel.Configuration.ConfigureServiceHostBehaviorExtensionElement, Microsoft.IdentityModel, Version=0.6.1.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35"/>
  </behaviorExtensions>
</extensions>

<services>
  <service behaviorConfiguration="serviceBehavior" name="STS.IP.Models.AccountMembershipService">
    <endpoint binding="wsFederationHttpBinding" bindingConfiguration="federationBinding" name="HTTPEndpoint" contract="STS.IP.Infrastructure.IAccountMembershipService" >
      <identity>
        <dns value="localhost"/>
      </identity>
    </endpoint>
    <!-- <endpoint binding="wsHttpBinding" bindingConfiguration="" name="HTTPEndpoint" contract="Aurora.WCFIsAlive.IIsAlive" />-->

  </service>
</services>

对大量的粘贴感到抱歉，但希望有人能发现我的错误！我只是用错误的方式接近它吗？

【问题讨论】：

标签： c# asp.net-mvc wcf model-view-controller wif

【解决方案1】：

我不知道这是否有任何帮助，但它可能有点相关......您可以重复使用已发行的令牌，这是我以前做过的事情。我的场景是说 ASP.NET 站点或 WCF 服务是 WIF 安全的，但是 ASP.NET 站点或 WCF 服务需要调用另一个需要 SAML 令牌/WIF 的服务，等等如果你可以重用令牌将 WIF 设置为使用引导。只要第二个网络服务信任相同的 STS。

http://msdn.microsoft.com/en-us/library/ee517256.aspx#_bootstrap

配置要设置在：

<microsoft.IdentityModel><service><securityTokenHandlers>:

这个值：

<securityTokenHandlerConfiguration saveBootstrapTokens="true" />

【讨论】：

【解决方案2】：

卡空间一直在弹出... client.ClientCredentials.SupportInteractive = false;

【讨论】：

如果这行得通，我会建造一座献给你的神殿。
如果它的好答案只是标记为正确，你就不需要为我建立一个神殿。大声笑

【解决方案3】：

Web 站点（现在正在工作的依赖方）和 IP-STS 上的 WCF 端点是 2 个不同的应用程序。您不能重复使用相同的令牌。您应该为 IP-STS 服务获取一个新令牌（例如更新密码等）

在这种情况下，IP-STS 服务在概念上只是另一个依赖方（可能信任自己）。

【讨论】：

感谢您的回复！我也尝试过访问 RP-STS 的类似方法，但我仍然遇到非常类似的问题。任何指针？我真的很坚持这个。
抱歉，我不能 100% 确定我理解。您在使用 RP-STS 时遇到什么问题？
想想你所说的我已经看到了我的方式的错误。 RP-STS 也有需要访问的服务，因为它依赖于 IP，所以任何请求都会立即返回到 IP（这显然只是返回 HTML，我知道这一点）。该项目目前已拆分为一个域项目，因此我只需要创建一个新的 Web 服务项目，该项目依赖于 RP，因此令牌将是有效的。或者至少，从我能解决的问题来看。虽然这一切都不能解释为什么卡空间一直在弹出！希望这种情况不会再发生。