增强Web服务2.0编程

开发者在线 Builder.com.cn 更新时间:2007-11-17作者：佚名来源:Microsoft

与 Windows 安全性集成的 Kerberos 令牌支持

　　我们要讨论的 WSE 2.0 的第一部分是支持 Kerberos 安全令牌。WSE 1.0 支持用户名令牌和 X.509 安全令牌。可以将这些令牌添加到安全令牌的消息集合，并用于创建数字签名或执行加密。对于 WSE 2.0 来说，当在 Windows Server 2003 或带有 Service Pack 1 的 Windows XP 上运行时，则已添加了 Kerberos 令牌支持。更重要的是，Kerberos 令牌支持能够与集成的 Windows 安全性一起使用，这样，不再需要将用户名映射成 Windows 用户，也不用另外设置用户数据库，可以基于 Windows 用户控制对 Web 服务的访问。

　　在为 RPSService 添加代码之前，我要做的第一件事是在自己的项目中添加对 Microsoft.Web.Services 程序库的引用。如果您的计算机上安装的是 WSE 1.0，那么添加引用时注意选择 2.0 版的程序库很重要。幸运的是，程序集的版本号就列在程序集名称之后，因此可以轻松地选择正确的程序集。图 2 显示的是选定了 WSE 2.0 程序库的 Add Reference（添加引用）对话框。请注意，1.0 版本的程序库就在选定的程序库之前。

图 2：将引用添加到 WSE 2.0 程序集

　　下面的代码演示如何通过编程的方式将 Kerberos 令牌添加到令牌消息集合。它是一方私下向另一方发送其动作时所使用的代码。该代码使用 WSE 2.0 的异步 TCP 消息功能（随后将详细说明），但用于添加令牌和加密的代码类似于 WSE 1.0 中用于其他类型令牌的代码。

using Microsoft.Web.Services.Security.Kerberos;
a€|
KerberosToken peerToken;
a€|
peerToken = new KerberosToken("host/" + OpponentUri.Host);
a€|
envelope.Context.Security.Tokens.Add(peerToken);
envelope.Context.Security.Elements.Add(new EncryptedData(peerToken));

　　请注意，令牌是通过传递连接主机的名称创建的。用于创建该令牌的 Kerberos 标签允许当前用户与指示的主机进行通信。具体来说，该令牌将用于加密要发送的消息，以便只有该远程主机才可以读取这些消息。

　　与其他类型令牌不同，Kerberos 令牌使用当前的 Windows 用户安全上下文创建该令牌。如果您查询已创建的令牌，您将会找到一个 Principal 成员属性，它指示创建该令牌的用户。我们从接收消息（带有 Kerberos 令牌）的代码的主体中获取用户名。下面的 opponent 变量是一个 KerberosToken 对象，该对象是从传入消息的 Tokens 集合中获得的。可以像下面获取名称那样来获取关于令牌创建者的信息，但也可以调用 IsInRole() 方法来通过编程的方式确定 Active Directory 组成员。

this.opposingNameLabel.Text
= "Playing: " + opponent.Principal.Identity.Name;

　　注意：如果在 Windows XP 上运行 Web 服务，则使用 Kerberos 令牌试图连接到 Web 服务时，您可能会遇到以下错误：

Microsoft.Web.Services.Security.SecurityFault: An invalid security token
was provided ---＞ System.Security.SecurityException: Unable to validate
incoming Kerberos ST. LsaLogonUser failed with the following message: A
required privilege is not held by the client. Substatus is 0.

　　出现该错误是由于调用名为 LogonUser 的安全 API 时，ASPNET 帐户无法验证 Kerberos 令牌。调用 LogonUser API 的用户帐号要求具有“作为操作系统的一部分来操作”特权。在默认情况下，ASPNET 帐户（即运行 ASP.NET 代码的帐户）不具有该特权。建议您在合适的服务器平台如 Windows Server 2003 上运行已设置 Kerberos 安全的 Web 服务。在 Windows Server 2003 上，调用 LogonUser 时不需要“作为操作系统的一部分来操作”特权。在 Windows XP 上，可以使用 Local Security Policy 管理应用程序来配置拥有“作为操作系统的一部分来操作”特权的帐户，包括 ASPNET 帐户，但应该注意这会造成 ASP.NET 应用程序的安全性不够严密。

首页

C/S开发

数据库

中间件

Web

嵌入式

项目管理

网页设计

社区

增强Web服务2.0编程

开发者在线 Builder.com.cn 更新时间:2007-11-17作者：佚名来源:Microsoft

Web服务编程相关资讯

Web服务编程相关技术文章

用户评论

BBS讨论

热门栏目推荐

热门软件技术推荐

开发者在线 Web服务最新报道

开发者在线编程最新报道

增强Web服务2.0编程

开发者在线 Builder.com.cn 更新时间:2007-11-17作者：佚名 来源:Microsoft

Web服务 编程相关资讯

Web服务 编程相关技术文章

用户评论

BBS讨论

热门栏目推荐

热门软件技术推荐

开发者在线 Web服务 最新报道

开发者在线 编程 最新报道

开发者在线 Builder.com.cn 更新时间:2007-11-17作者：佚名来源:Microsoft

Web服务编程相关资讯

Web服务编程相关技术文章

开发者在线 Web服务最新报道

开发者在线编程最新报道