Discussion :

[Nanais19]

Bonjour,

J'aimerai pouvoir configurer mon web service qui utilise la liaison WSDualHttpBinding avec la méthode d'authentification Username/password de sorte que le password passé dans les entêtes de message SOAP soit haché avec la méthode PasswordDigest décrite sur le jouranldunet.

Voici ce l'exemple cité dans la page :

<wsse:UsernameToken>
<wsse:Username>scott</wsse:Username>
<wsseassword Type="wsseasswordDigest">
KE6QugOpkPyT3Eo0SEgT30W4Keg=</wsseassword>
<wsse:Nonce>5uW4ABku/m6/S5rnE+L7vg==</wsse:Nonce>
<wsu:Created xmlns:wsu=
"http://schemas.xmlsoap.org/ws/2002/07/utility">
2002-08-19T00:44:02Z
</wsu:Created>
</wsse:UsernameToken>

Seulement mes entêtes sont générés automatiquement via le frameword .Net avec WCF et je ne trouve pas où est ce que je peux configurer ceci dans le fichier de configuration.

Voici mon fichier de configuration actuel :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
 
<system.serviceModel>
  <services>
    <service name="WS.ServiceProduits" behaviorConfiguration="behaviorConfig">
      <endpoint address="" binding="wsDualHttpBinding" bindingConfiguration="wsDualHttp" contract="WS.Interface.IProduits">
        <identity>
          <dns value="localhost"/>
        </identity>
      </endpoint>
      <endpoint address="mex" binding="mexHttpBinding" contract="IMetadataExchange" />
    </service>
  </services>
  <bindings>
    <wsDualHttpBinding>
      <binding name="wsDualHttp" maxReceivedMessageSize="10485760">
        <readerQuotas maxArrayLength="10485760"/>
        <security mode="Message">
          <message clientCredentialType="UserName"/>
        </security>
      </binding>
    </wsDualHttpBinding>
  </bindings>
  <behaviors>
    <serviceBehaviors>
      <behavior name="behaviorConfig">
        <!-- To avoid disclosing metadata information, set the values below to false before deployment -->
        <serviceMetadata httpGetEnabled="true" httpsGetEnabled="true" />
        <!-- To receive exception details in faults for debugging purposes, set the value below to true.  Set to false before deployment to avoid disclosing exception information -->
        <serviceDebug includeExceptionDetailInFaults="true" />
        <serviceCredentials>
          <clientCertificate>
            <authentication certificateValidationMode="None" revocationMode="NoCheck" />
          </clientCertificate>
          <serviceCertificate storeName="My" storeLocation="LocalMachine" x509FindType="FindBySubjectName" findValue="localhost" />
          <userNameAuthentication userNamePasswordValidationMode="Custom" customUserNamePasswordValidatorType="WS.CustomUserNameValidator, WS" />
        </serviceCredentials>
        <serviceAuthorization principalPermissionMode="Custom">
          <authorizationPolicies>
            <add policyType="WS.CustomAuthorizationPolicy, WS" />
          </authorizationPolicies>
        </serviceAuthorization>
      </behavior>
    </serviceBehaviors>
  </behaviors>
  <protocolMapping>
    <add binding="wsDualHttpBinding" scheme="https" bindingConfiguration="wsDualHttp" />
    <add binding="wsDualHttpBinding" scheme="http" bindingConfiguration="wsDualHttp" />
  </protocolMapping>
  <serviceHostingEnvironment aspNetCompatibilityEnabled="true" multipleSiteBindingsEnabled="true" />
</system.serviceModel>

Si vous pouvez m'aider se serait vraiment top

[DotNetMatt]

Apparemment ça n'est pas supporté nativement par WCF, et il faut mettre en place une extension pour gérer ça.

Voici deux liens qui t'aideront :
- PasswordDigest authentication in WCF
- UsernameToken Profile vs. WCF

[Nanais19]

Ah ! Et même coté client, il n'y a pas moyen d'ajouter une propriété dans le fichier de configuration ?

il faut mettre en place une extension pour gérer ça.

Où trouver des exemples ?! J'ai pu constater que dans le logiciel SOAP UI, en modifiant une propriété, elle applique directement dans le header la methode PasswordDigest !

Sinon, j'ai déjà vu ces liens mais vu qu'ils utilisent une classe coté web service, cela implique que le password doit dans un premier temps transiter en clair sur le réseau avant d'atteindre cette classe ! non ?

[Nanais19]

J'ai trouvé ceci sur la MSDN : http://msdn.microsoft.com/en-us/library/ms731172.aspx

Ce lien indique que la méthode password digest n'est pas possible avec le mode "TransportWithMessageCredential" mais wsDualHttpBinding utilise uniquement le mode "message".
Voici la citation trouvé dans la page web :

UserName
Allows the service to require that the client be authenticated using a user name credential. Note that when the security mode is set to TransportWithMessageCredential, WCF does not support sending a password digest or deriving keys using password and using such keys for Message mode security. As such, WCF enforces that the transport is secured when using user name credentials.

[DotNetMatt]

Dans le premier lien tu as un exemple codé de A à Z.

la méthode password digest n'est pas possible avec le mode "TransportWithMessageCredential" mais wsDualHttpBinding utilise uniquement le mode "message".

Tu utilises le mode TransportWithMessageCredential ?

[Nanais19]

Non justement, ce mode n'existe pas avec la configuration WSDualHttpBinding.
J'ai trouver un autre article qui détail un peu plus le processus :
http://blog.benpowell.co.uk/2010/11/...-password.html

Néanmoins celui ci indique que WCF a volontaire choisi de ne pas implémenter l'option passwordDigest, alors qu'est ce qui est utilisé à la place ?
Cela veut donc dire que l'on est obligé de laisser passer les mots de passes en clair sur le réseau si on n'utilise le framework WCF tel qu'il est ?!