Как включить сеанс с SSL wsHttpBinding в WCF

У меня есть служба WCF с включенными wsHttpBindings и SSL, но я бы хотел включить сеансы WCF.

После изменения SessionMode на требуемый

SessionMode:=SessionMode.Required

Я получаю ошибку, описанную ниже.

Контракт требует сеанса, но привязка "WSHttpBinding" не поддерживает он или неправильно настроен для его поддержки.

Здесь мое примерное приложение.

App.config

  <?xml version="1.0" encoding="utf-8" ?>
    <configuration>

      <system.web>
        <compilation debug="true" />
      </system.web>
      <!-- When deploying the service library project, the content of the config file must be added to the host 
      app.config file. System.Configuration does not support config files for libraries. -->
      <system.serviceModel>

        <serviceHostingEnvironment aspNetCompatibilityEnabled="true" />
        <client />
        <bindings>
          <wsHttpBinding>
            <binding name="NewBinding0" useDefaultWebProxy="false" allowCookies="true">
              <readerQuotas maxStringContentLength="10240" />
              <!--reliableSession enabled="true" /-->
              <security mode="Transport">
                <transport clientCredentialType="None" proxyCredentialType="None" >
                  <extendedProtectionPolicy policyEnforcement="Never" />
                </transport >
              </security>
            </binding>
          </wsHttpBinding>
        </bindings>
        <services>
          <service name="WcfServiceLib.TestService">
            <endpoint address="" binding="wsHttpBinding" bindingConfiguration="NewBinding0"
              contract="WcfServiceLib.ITestService">
              <identity>
                <servicePrincipalName value="Local Network" />
              </identity>
            </endpoint>
            <endpoint address="mex" binding="mexHttpsBinding" contract="IMetadataExchange" />
            <host>
              <baseAddresses>
                <add baseAddress="https://test/TestService.svc" />
              </baseAddresses>
            </host>
          </service>
        </services>

        <behaviors>
          <serviceBehaviors>
            <behavior>
              <!-- To avoid disclosing metadata information, 
              set the value below to false and remove the metadata endpoint above before deployment -->
              <serviceMetadata httpsGetEnabled="True"/>
              <!-- To receive exception details in faults for debugging purposes, 
              set the value below to true.  Set to false before deployment 
              to avoid disclosing exception information -->
              <serviceDebug includeExceptionDetailInFaults="False" />
            </behavior>
          </serviceBehaviors>
        </behaviors>
      </system.serviceModel>

    </configuration>

ITestService.vb

  <ServiceContract(SessionMode:=SessionMode.Required)>
    Public Interface ITestService

        <OperationContract(IsInitiating:=True, IsTerminating:=False)> _
        Function GetData(ByVal value As Integer) As String

    End Interface

TestService.vb

    <ServiceBehavior(InstanceContextMode:=InstanceContextMode.PerSession, _ 
    ReleaseServiceInstanceOnTransactionComplete:=False, _ 
    ConcurrencyMode:=ConcurrencyMode.Single)>
        Public Class TestService
            Implements ITestService

            Private _user As User

            <OperationBehavior(TransactionScopeRequired:=True)>
            Public Function GetData(ByVal value As Integer) As String _
 Implements ITestService.GetData

                If _user Is Nothing Then

                    _user = New User()
                    _user.userName = "User_" & value
                    _user.userPassword = "Pass_" & value

                    Return String.Format("You've entered: {0} , Username = {1} , Password = {2} ", _
                                         value, _user.userName, _user.userPassword)
                Else
                    Return String.Format("Username = {1} , Password = {2} ", _
                                    _user.userName, _user.userPassword)
                End If

            End Function

        End Class

Я пробовал все возможные решения, я мог найти, но ничего не помогло.

Некоторые советы по включению надежных сеансов, но они не работают с ssl (если только у вас есть пользовательская привязка), другие советуют использовать http вместо https, но я бы хотел включить сеансы с моими текущими конфигурациями, если это возможно.

Есть ли какой-либо подход для достижения этого?

Любая помощь очень ценится.

Ответ 1

Если вы хотите "сеансы" с wsHttpBinding, вам нужно использовать либо надежный обмен сообщениями, либо сеансы безопасности. (источник: как включить сеанс WCF с помощью wsHttpBidning с защитой только для транспорта).

WSHttpBinding поддерживает сеанс, но только если включена защита (SecureConversation) или надежная передача сообщений. Если вы используете транспортную безопасность, то он не использует WS-SecureConversation и WS-ReliableMessaging отключен по умолчанию. Поэтому два протокола, которые WSHttpBinding использует для сеанса, недоступны. Вам нужно либо использовать безопасность сообщений, либо включить надежный сеанс. (источник: http://social.msdn.microsoft.com/Forums/en-US/wcf/thread/57b3453e-e7e8-4875-ba23-3be4fff080ea/).

Weve запретил RM над Https в стандартных привязках, потому что способ защитить сеанс RM - использовать сеанс безопасности, а Https не предоставляет сеанс.

Я нашел здесь сообщение msdn: http://msdn2.microsoft.com/en-us/library/ms733136.aspx Разметка "Единственное исключение - это использование HTTPS. Сессия SSL не связана с надежным сеансом, что накладывает угрозу, поскольку сеансы, совместно использующие контекст безопасности (сеанс SSL), не защищены друг от друга, это может или не может быть реальной угрозой в зависимости от приложения".

Однако вы можете сделать это, если вы определите отсутствие угрозы. Существует образец RM по HTTPS с помощью пользовательской привязки http://msdn2.microsoft.com/en-us/library/ms735116.aspx (источник: http://social.msdn.microsoft.com/forums/en-US/wcf/thread/fb4e5e31-e9b0-4c24-856d-1c464bd0039c/).

Подводя итоги, вы можете:

1 - Храните wsHttpBinding, удалите транспортную безопасность и включите надежный обмен сообщениями

  <wsHttpBinding>
    <binding name="bindingConfig">
      <reliableSession enabled="true" />
      <security mode="None"/>
    </binding>
  </wsHttpBinding>

Но вы потеряете уровень SSL, а затем часть своей безопасности.

2 - Сохраните wsHttpBinding, сохраните безопасность транспорта и добавьте аутентификацию сообщения.

  <wsHttpBinding>
    <binding name="bindingConfig">
      <security mode="TransportWithMessageCredential">
        <message clientCredentialType="UserName"/>
      </security>
    </binding>
  </wsHttpBinding>

Вы можете сохранить свой уровень безопасности SSL, но ваш клиент должен будет предоставить учетные данные (любой формы), и даже если вы не подтвердите их на стороне службы, поддельные все равно должны быть предоставлены, поскольку WCF отклонит любое сообщение не указывая учетные данные.

3 - Используйте пользовательскую привязку с надежным обменом сообщениями и HTTPS-транспортом

  <customBinding>
    <binding name="bindingConfig">
      <reliableSession/>
      <httpsTransport/>
    </binding>
  </customBinding>

Я не вижу недостатка в этом, кроме угрозы, описанной в MSDN, и это зависит от вашего приложения.

4 - Использовать других поставщиков сеансов Если ваше приложение запущено в IIS, вы можете установить

<serviceHostingEnvironment aspNetCompatibilityEnabled="true"/>

и зависит от

HttpContext.Current.Session

для вашего состояния.

Или внедрить свои собственные файлы cookie.

PS: Обратите внимание, что для всех этих конфигураций WCF я тестировал только активацию службы, а не звонки.

EDIT: по запросу пользователя wsHttpBinding с TransportWithMessageCredential режимами безопасности, реализующими сеансы (я не слишком хорошо знаком с VB.NET, поэтому прошу простить мой синтаксис):

Фрагмент кода службы:

<ServiceContract(SessionMode:=SessionMode.Required)>
Public Interface IService1

    <OperationContract()> _
    Sub SetSessionValue(ByVal value As Integer)

    <OperationContract()> _
    Function GetSessionValue() As Nullable(Of Integer)

End Interface

<ServiceBehavior(InstanceContextMode:=InstanceContextMode.PerSession, 
    ConcurrencyMode:=ConcurrencyMode.Single)>
Public Class Service1
    Implements IService1

    Private _sessionValue As Nullable(Of Integer)

    Public Sub SetSessionValue(ByVal value As Integer) Implements IService1.SetSessionValue
        _sessionValue = value
    End Sub

    Public Function GetSessionValue() As Nullable(Of Integer) Implements IService1.GetSessionValue
        Return _sessionValue
    End Function
End Class

Public Class MyUserNamePasswordValidator
    Inherits System.IdentityModel.Selectors.UserNamePasswordValidator

    Public Overrides Sub Validate(userName As String, password As String)
        ' Credential validation logic
        Return ' Accept anything
    End Sub

End Class

сервис-фрагмент конфигурации:

<system.serviceModel>
  <services>
    <service name="WcfService1.Service1" behaviorConfiguration="WcfService1.Service1Behavior">
      <endpoint address="" binding="wsHttpBinding" contract="WcfService1.IService1" bindingConfiguration="bindingConf"/>
      <endpoint address="mex" binding="mexHttpsBinding" contract="IMetadataExchange"/>
    </service>
  </services>
  <bindings>
    <wsHttpBinding>
      <binding name="bindingConf">
        <security mode="TransportWithMessageCredential">
          <message clientCredentialType="UserName"/>
        </security>
      </binding>
    </wsHttpBinding>
  </bindings>
  <behaviors>
    <serviceBehaviors>
      <behavior name="WcfService1.Service1Behavior">
        <serviceMetadata httpsGetEnabled="true"/>
        <serviceDebug includeExceptionDetailInFaults="false"/>
        <serviceCredentials>
          <userNameAuthentication 
            userNamePasswordValidationMode="Custom"
            customUserNamePasswordValidatorType="WcfService1.MyUserNamePasswordValidator, WcfService1"/>
        </serviceCredentials>
      </behavior>
    </serviceBehaviors>
  </behaviors>
</system.serviceModel>

фрагмент кода тестового кода клиента:

Imports System.Threading.Tasks

Module Module1

    Sub Main()
        Parallel.For(0, 10, Sub(i) Test(i))
        Console.ReadLine()
    End Sub

    Sub Test(ByVal i As Integer)
        Dim client As ServiceReference1.Service1Client
        client = New ServiceReference1.Service1Client()
        client.ClientCredentials.UserName.UserName = "login"
        client.ClientCredentials.UserName.Password = "password"
        Console.WriteLine("Session N° {0} : Value set to {0}", i)
        client.SetSessionValue(i)
        Dim response As Nullable(Of Integer)
        response = client.GetSessionValue()
        Console.WriteLine("Session N° {0} : Value returned : {0}", response)
        client.Close()
    End Sub

End Module

Ответ 2

По умолчанию WSHttpBinding разрешает сеансы безопасности. Это концепция WCF и не связана с транспортом. Сеанс безопасности не сеанс по https, а сеанс с взаимной аутентификацией. Это достигается добавлением безопасности сообщений.

Основываясь на вашем сервисе, вы должны применить эту конфигурацию

 <bindings>
      <wsHttpBinding>
        <binding name="wsHttpBindingConfig">
          <security mode="TransportWithMessageCredential">
            <!-- configure transport & message security here if needed-->
          </security>
        </binding>
      </wsHttpBinding>
    </bindings>

На клиентов, вот простой unit test

[TestMethod]
    public void TestSecuritySession()
    {
        //remove this is certificate is valid
        ServicePointManager.ServerCertificateValidationCallback = new System.Net.Security.RemoteCertificateValidationCallback((sender, certificate, chain, sslPolicyErrors) => { return true; });

        var binding = new WSHttpBinding();
        binding.Security = new WSHttpSecurity() { Mode = SecurityMode.TransportWithMessageCredential};
        ChannelFactory<ITestService> Factory = new ChannelFactory<ITestService>(binding, new EndpointAddress("https://localhost/TestService.svc"));

        Factory.Open();
        var channel = Factory.CreateChannel();

        //call service here

        (channel as IClientChannel).Close();

        Factory.Close();
    }

Ответ 3

wsHttpBinding требует safeSession для поддержки сеансов WCF, а для надежных сеансов требуется специальная привязка для поддержки ssl. Поэтому просить сеансы WCF над ssl и с wsHttpBinding кажется насколько возможно, насколько я могу судить.