WCF: пользовательский RoleProvider с PrincipalPermissions: не похоже на попадание / как его отладить?
У меня есть пользовательский поставщик ролей, который наследуется от RoleProvider. В веб-приложении это прекрасно работает без проблем.
Тем не менее, я также использую его в службе WCF, и у меня возникли большие проблемы. в той степени, в которой я подозреваю, что это не бьют вообще. Если я включаю какие-либо основные разрешения вообще, я получаю отказ в доступе, и трассировка стека совершенно бесполезна. даже следы WCF действительно помогают установить, что произошло.
Я знаю, что TennisRoleProvider работает со своим конструктором по умолчанию и проверил его методы с помощью теста. Кажется, это проблема интеграции.
Так что отрывки...
РЕДАКТИРОВАТЬ: С тех пор я переместил поставщика ролей в сборку службы, прочитав кое-что о необходимости задействовать GAK и ключи (должен работать в полном доверии). Я пошел по этому пути, но вещи все еще не работали, поэтому решил просто переместить вещи в сервисный проект, чтобы упростить. Все еще нет радости.
<roleManager defaultProvider="TennisRoleProvider"
enabled="true"
>
<providers>
<clear/>
<add name="TennisRoleProvider"
type="Tennis.Security.TennisRoleProvider, Tennis.Security" />
</providers>
</roleManager>
<bindings>
<wsHttpBinding>
<binding name="wsHttpUserName">
<security mode="TransportWithMessageCredential">
<message clientCredentialType="UserName"/>
<transport clientCredentialType="None"/>
</security>
</binding>
</wsHttpBinding>
<bindings/>
<behavior name="RoleBehavior">
<serviceCredentials>
<serviceCertificate findValue="john-pc"
storeLocation="LocalMachine"
storeName="My"
x509FindType="FindBySubjectName"/>
<userNameAuthentication userNamePasswordValidationMode="Custom"
customUserNamePasswordValidatorType="Tennis.Components.TennisUserValidator, Tennis.Components"/>
</serviceCredentials>
<serviceAuthorization principalPermissionMode="UseAspNetRoles"
roleProviderName="TennisRoleProvider">
</serviceAuthorization>
<serviceMetadata httpsGetEnabled="true"/>
<serviceDebug includeExceptionDetailInFaults="true"/>
<errorHandler />
</behavior>
<services>
<service name="Tennis.Service.Services"
behaviorConfiguration="RoleBehavior">
<endpoint address="Family"
binding="wsHttpBinding"
bindingConfiguration="wsHttpUserName"
contract="Tennis.Service.Contracts.IFamilyAdmin"
/>
</service>
</services>
Затем на метод службы у меня есть следующее (администратор Roles.Family является строка)
[PrincipalPermission(SecurityAction.Demand, Name = Roles.FamilyAdmin)]
public VoidResult<SuccessEnum> UpdateFamily(Family family)
{
}
так что есть 2 вопроса... 1) что я сделал не так? 2) Как я могу попасть в WCF, чтобы точно выяснить, что происходит не так?
ура
Трассировка стека для ошибки в журналах выглядит следующим образом. Обратите внимание, что разрешение там отличается от того, которое я использовал выше (Namley "авторизован" вместо "FamilyAdmin". Однако в действительности эти значения совпадают, и пользователь имеет правильные разрешения.
<E2ETraceEvent xmlns="http://schemas.microsoft.com/2004/06/E2ETraceEvent">
<System xmlns="http://schemas.microsoft.com/2004/06/windows/eventlog/system">
<EventID>131076</EventID>
<Type>3</Type>
<SubType Name="Warning">0</SubType>
<Level>4</Level>
<TimeCreated SystemTime="2012-06-29T12:45:30.2469191Z" />
<Source Name="System.ServiceModel" />
<Correlation ActivityID="{6e59b4f4-d59b-42eb-ad8e-4d5853f72900}" />
<Execution ProcessName="w3wp" ProcessID="9388" ThreadID="18" />
<Channel />
<Computer>JOHNN-PC</Computer>
</System>
<ApplicationData>
<TraceData>
<DataItem>
<TraceRecord xmlns="http://schemas.microsoft.com/2004/10/E2ETraceEvent/TraceRecord" Severity="Warning">
<TraceIdentifier>http://msdn.microsoft.com/en-GB/library/System.ServiceModel.Diagnostics.TraceHandledException.aspx</TraceIdentifier>
<Description>Handling an exception.</Description>
<AppDomain>/LM/W3SVC/2/ROOT/Tennis-1-129854474506679191</AppDomain>
<Exception>
<ExceptionType>System.Security.SecurityException, mscorlib, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089</ExceptionType>
<Message>Request for principal permission failed.</Message>
<StackTrace>
at System.Security.Permissions.PrincipalPermission.ThrowSecurityException()
at System.Security.Permissions.PrincipalPermission.Demand()
at System.Security.PermissionSet.DemandNonCAS()
at Nomical.Tennis.Service.Services.GetBookingsForUser(DateTime start, DateTime end) in c:\tfs\Tennis\TennisSolution\TennisCourts\Services.svc.cs:line 388
at SyncInvokeGetBookingsForUser(Object , Object[] , Object[] )
at System.ServiceModel.Dispatcher.SyncMethodInvoker.Invoke(Object instance, Object[] inputs, Object[]& outputs)
</StackTrace>
<ExceptionString>System.Security.SecurityException: Request for principal permission failed.
at System.Security.Permissions.PrincipalPermission.ThrowSecurityException()
at System.Security.Permissions.PrincipalPermission.Demand()
at System.Security.PermissionSet.DemandNonCAS()
at Tennis.Service.Services.GetBookingsForUser(DateTime start, DateTime end) in c:\tfs\Tennis\TennisSolution\TennisCourts\Services.svc.cs:line 388
at SyncInvokeGetBookingsForUser(Object , Object[] , Object[] )
at System.ServiceModel.Dispatcher.SyncMethodInvoker.Invoke(Object instance, Object[] inputs, Object[]& outputs)
The action that failed was:
Demand
The type of the first permission that failed was:
System.Security.Permissions.PrincipalPermission
The first permission that failed was:
<IPermission class="System.Security.Permissions.PrincipalPermission, mscorlib, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089"
version="1">
<Identity Authenticated="true"
ID="Authorised"/>
</IPermission>
The demand was for:
<IPermission class="System.Security.Permissions.PrincipalPermission, mscorlib, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089"
version="1">
<Identity Authenticated="true"
ID="Authorised"/>
</IPermission>
The assembly or AppDomain that failed was:
mscorlib, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089</ExceptionString>
</Exception>
</TraceRecord>
</DataItem>
</TraceData>
</ApplicationData>
</E2ETraceEvent>
РЕДАКТИРОВАТЬ: Основываясь на ответе ниже, я добавил несколько строк кода в конструктор - что, хотя они ничего не достигли, побудило меня опросить статический класс потока.
РЕДАКТИРОВАТЬ: заданный вопрос о журналах обновленный журнал, чтобы показать, что это действительно из журнала - или я запутался;)
Он ссылается на TennisRoleProvider в своих непубличных членах - более того, когда я переопределил Name, чтобы оно возвращало что-то, я узнал, что это было возвращено им.
2 ответа
Проблема заключалась в том, что я использую безопасность для сборок / доменов приложений.
Я должен сделать все доверенным и подписанным, чтобы это работало.
Поставьте точку останова в одном из ваших поставщиков ролей. Если ваша служба WCF размещена самостоятельно, запустите хост или, если вы используете ее под IIS, просто откройте файл * svc. В Visual Studio перейдите в раздел "Отладка", нажмите "Присоединить к процессу" и выберите свой рабочий процесс из списка w3wp.exe (если вы не видите его, установите оба флажка "Показать процессы всех пользователей" и "Показать процессы во всех"). сеансы ". Теперь вы можете присоединиться к процессу выполнения службы WCF. Последнее, что нужно сделать, - это вызвать у вашего клиента один из методов тестирования вашей службы и посмотреть, не достигнет ли ваша точка останова.
Если это не сработает, просто включите трассировку на своем уровне обслуживания и проверьте файлы журнала трассировки на наличие подозрительной информации.