MessageSecurityException / WCF, Web Services, Remoting

ReSQL.ru

Мобильная версия Контакт Правила FAQ Помощь

Гость

Войти | Регистрация | Профиль | Очистить

Новые сообщения | Избранное

Форумы | Пользователи | Статистика | Мод. лог | Поиск

Доб. в избранное | Игнор. тему | Прикреп. тему | Пометить прочит. / непрочит. | Фильтр

Форумы / WCF, Web Services, Remoting [игнор отключен] [закрыт для гостей] / MessageSecurityException

17 сообщений из 17, страница 1 из 1

MessageSecurityException

#39772970

skon

Участник

Сообщения: 32

Рейтинг: 0 / 0

Всем привет. Есть следующая проблема.

По wsdl и xsd с помощью svcutil был сгенерён wcf-сервис.

Используемый биндинг.

Код: xml

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.

      <customBinding>

        <binding name="wsBindingKerberos">
          <security authenticationMode="Kerberos"
          requireDerivedKeys="false"
          includeTimestamp="true" securityHeaderLayout="Lax"  requireSignatureConfirmation="true" >            
            
          </security>
          <textMessageEncoding messageVersion="Soap11" />
          <httpTransport />
        </binding>

      </customBinding>

создан spn. Конфигурация сервиса

Код: xml

1.
2.
3.
4.
5.
6.
7.
8.

     <service name="serviceName" behaviorConfiguration="serviceBehavior">
        <endpoint address="" binding="customBinding" bindingConfiguration="wsBindingKerberos" contract="ContractName">
          <identity>
            <servicePrincipalName value="spn" />
          </identity>
        </endpoint>
        <endpoint address="mex" binding="mexHttpBinding" contract="IMetadataExchange" />
      </service>

Клиент (на который нельзя повлиять и который должен отправлять сообщение в соответствии с wsdl, по которой генерился сервис), который вызывает данный сервис падает с http 500, verifying security. Подключив запись ошибок в eventLog получаем
MessageSecurityException: the signature must be in the security header.

И соответствующего блока (Signature) клиент не отправляет (согласно wireshark-у)

Код: xml

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.

<soap:Header>
            <wsse:Security
                soap:mustUnderstand="1"
                xmlns:wsse="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd">
                <wsse:BinarySecurityToken
                    xmlns:wsse="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd"
                    xmlns:wsu="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd"
                    EncodingType="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#Base64Binary"
                    ValueType="http://docs.oasis-open.org/wss/oasis-wss-kerberos-token-profile-1.1#GSS_Kerberosv5_AP_REQ"
                    wsu:Id="">
                     ...
                    </wsse:BinarySecurityToken>
                </wsse:Security>
            </soap:Header>

тестовый клиент, созданный на основе wsdl получившегося сервиса работает, но заголовок отправляет другой (с блоками timestamp и Signature).

Цель: понять причину возникновения ошибки и как настроить wcf-сервис валидировать текущие сообщения.
Есть идеи куда копать?

...

Рейтинг:

0 / 0

12.02.2019, 17:34

| Ответить | Цитировать | Написать

MessageSecurityException

#39772977

Petro123

Участник

Откуда: Загрузочный сектор Москвы (AutoPOI.ru)

Сообщения: 39 476

Рейтинг: 0 / 0

skon,
Как это клиент нельзя менять?
Сервер первичен и под него клиент пунктом в меню Сгенерить прокси классы.

...

Рейтинг:

0 / 0

12.02.2019, 17:41

| Ответить | Цитировать | Написать

MessageSecurityException

#39772978

Petro123

Участник

Откуда: Загрузочный сектор Москвы (AutoPOI.ru)

Сообщения: 39 476

Рейтинг: 0 / 0

skonsvcutilделайте с IDE, а не утилитами. Это же MS.

...

Рейтинг:

0 / 0

12.02.2019, 17:44

| Ответить | Цитировать | Написать

MessageSecurityException

#39772981

skon

Участник

Сообщения: 32

Рейтинг: 0 / 0

Petro123,
в данном случае это шина, работающая с кучей других систем. Как минимум, это бюрократия.
Вопрос можно ли обойтись настройками биндинга серверной части...запретить верифицифировать как-то подпись в заголовке, например или что-то подобное.
Кроме безопасности, к сообщениям, приходящим с шины нет никаких претензий - на базовом биндинге, без заголовков всё обрабатывается корректно.

...

Рейтинг:

0 / 0

12.02.2019, 17:51

| Ответить | Цитировать | Написать

MessageSecurityException

#39772983

Petro123

Участник

Откуда: Загрузочный сектор Москвы (AutoPOI.ru)

Сообщения: 39 476

Рейтинг: 0 / 0

skon,
Сначала надо тесты сделать. Найти причину.
Для этого сделать как в мануале. Время занимает 10 минут чтобы спорить.
Делайте тест площадку.
2. У вас получается что клиента не трогать, а сервер можно? Не пойму логики.

...

Рейтинг:

0 / 0

12.02.2019, 17:55

| Ответить | Цитировать | Написать

MessageSecurityException

#39772985

Petro123

Участник

Откуда: Загрузочный сектор Москвы (AutoPOI.ru)

Сообщения: 39 476

Рейтинг: 0 / 0

skonобойтись настройками биндинга серверной части.клиент строит классы запросив сервер.
А не наоборот.

...

Рейтинг:

0 / 0

12.02.2019, 17:57

| Ответить | Цитировать | Написать

MessageSecurityException

#39772986

skon

Участник

Сообщения: 32

Рейтинг: 0 / 0

Petro123,
Понимаю, что это несколько странно, но действительно клиент(шину) менять крайне сложно. А главное, я не могу на это существенно повлиять

...

Рейтинг:

0 / 0

12.02.2019, 17:58

| Ответить | Цитировать | Написать

MessageSecurityException

#39772989

Petro123

Участник

Откуда: Загрузочный сектор Москвы (AutoPOI.ru)

Сообщения: 39 476

Рейтинг: 0 / 0

skon,

Да может и менять не надо будет. Ты сравнишь конфиг публикуемый сервером в http с тем что счас на клиенте.

...

Рейтинг:

0 / 0

12.02.2019, 18:04

| Ответить | Цитировать | Написать

MessageSecurityException

#39772990

Petro123

Участник

Откуда: Загрузочный сектор Москвы (AutoPOI.ru)

Сообщения: 39 476

Рейтинг: 0 / 0

Как в экселе подгонка формулы в обратную сторону.

...

Рейтинг:

0 / 0

12.02.2019, 18:05

| Ответить | Цитировать | Написать

MessageSecurityException

#39773029

Petro123

Участник

Откуда: Загрузочный сектор Москвы (AutoPOI.ru)

Сообщения: 39 476

Рейтинг: 0 / 0

skonЦель: понять причину возникновения ошибкиkerberos

skonкак настроить
Сравнить отличия конфигов или net версии или.........
в рабочем и нерабочем клиенте.
... Ваше страшное слово шина не меняется. Возможно сменятся только конфиги.

...

Рейтинг:

0 / 0

12.02.2019, 19:31

| Ответить | Цитировать | Написать

MessageSecurityException

#39773173

skon

Участник

Сообщения: 32

Рейтинг: 0 / 0

Petro123,
хотелось бы ещё понять может ли быть заголовок soap-сообщения без <timeStamp> и <Signature> быть валидным при режиме проверке подлинности kerberos. И если да, как настроить биндинг

...

Рейтинг:

0 / 0

13.02.2019, 09:52

| Ответить | Цитировать | Написать

MessageSecurityException

#39773182

Petro123

Участник

Откуда: Загрузочный сектор Москвы (AutoPOI.ru)

Сообщения: 39 476

Рейтинг: 0 / 0

skon,
Что то ты темнишь брат)))
Выше ты написал что есть рабочий клиент с kerberos.
Почему не сравнить рабочий и не рабочий конфиг загадка).
Лезть в нижний уровень протокола soap мягко скажу - для скучающих).

...

Рейтинг:

0 / 0

13.02.2019, 10:04

| Ответить | Цитировать | Написать

MessageSecurityException

#39773222

skon

Участник

Сообщения: 32

Рейтинг: 0 / 0

Petro123,
так у меня нет никакого доступа к нерабочему клиенту...я могу только снифить его сообщения и знаю под какую wsdl он был настроен)...wsdl-ки (сервера и та под которую настраивался проблемный клиент) до определённой степени совпадают. На серверной есть, например...

Код: xml

1.
2.
3.
4.
5.

<sp:Layout>
<wsp:Policy>
<sp:Lax/>
</wsp:Policy>
</sp:Layout>

...что едва ли может повлиять на работу

...

Рейтинг:

0 / 0

13.02.2019, 11:13

| Ответить | Цитировать | Написать

MessageSecurityException

#39773247

Petro123

Участник

Откуда: Загрузочный сектор Москвы (AutoPOI.ru)

Сообщения: 39 476

Рейтинг: 0 / 0

skonтак у меня нет никакого доступа к нерабочему клиенту...я могу только снифить его сообщенияэто как?
Лечить будем по фотографии?
Что за программист который не может развернуть тест локально но знает что такое снифить))).
Может перелогинишься?))

...

Рейтинг:

0 / 0

13.02.2019, 11:37

| Ответить | Цитировать | Написать

MessageSecurityException

#39773262

skon

Участник

Сообщения: 32

Рейтинг: 0 / 0

Petro123,
Вы же допускаете, что сообщение создаётся программно, а не через конфиг?)

я пока и не предлагал лечить глобально...

на первом этапе меня интересует
1. возможность получения заголовка soap-сообщения без временной метки и подписи (только wsse:BinarySecurityToken) при использовании билета kerberos для проверки подлинности клиента.
2. Может ли отсутствие данных тегов в заголовке приводить к ошибки из первого сообщения

...

Рейтинг:

0 / 0

13.02.2019, 12:04

| Ответить | Цитировать | Написать

MessageSecurityException

#39773281

Petro123

Участник

Откуда: Загрузочный сектор Москвы (AutoPOI.ru)

Сообщения: 39 476

Рейтинг: 0 / 0

skonВы же допускаете, что сообщение создаётся программно, а не через конфиг?)рядом тема есть про динамику.
Можно создать окно на win32 api. А можно form.Create().
С первым способом не ко мне. Жизнь коротка чтобы этим заниматься.
Ищите любителя программно отсылать сообщения вручную.
Тут есть один такой мембер.
Удачи!

...

Рейтинг:

0 / 0

13.02.2019, 12:35

| Ответить | Цитировать | Написать

MessageSecurityException

#39773286

Petro123

Участник

Откуда: Загрузочный сектор Москвы (AutoPOI.ru)

Сообщения: 39 476

Рейтинг: 0 / 0

skon,
Кстати, вот у меня перед носом сервер и клиент на тестовой.
Спрашивается, на кой ляд копаться в транспортном уровне если есть прикладной?
Вы бы хоть обосновали важность такого копания))

...

Рейтинг:

0 / 0

13.02.2019, 12:45

| Ответить | Цитировать | Написать

17 сообщений из 17, страница 1 из 1

Форумы / WCF, Web Services, Remoting [игнор отключен] [закрыт для гостей] / MessageSecurityException

Цитировать

Написать

Автор*:

Ввести пароль для входа

Тема*:

Сообщение

Данное сообщение тематическое

Сообщение содержит картинки или видео 18+

Автор:

ВНИМАНИЕ! На данном подфоруме действуют строгие правила. Удостоверьтесь, что ваше сообщение соответствует им!

Форум или тема закрыты для гостей. Необходима авторизация!

Загрузить последнюю сохраненную версию

Вложение:

Вставить как галерею

Максимальный размер вложений: 4,0 МБ, аудио/видео: 8,0 МБ. Картинки большего размера ужимаются, если возможно.

Введите код, изображенный на картинке. Если код нечитаемый, кликните картинку, чтобы загрузить другой вариант.

Отправляя сообщение, я выражаю свое согласие с правилами форума и принимаю пользовательское соглашение.

Читали тему (0):

Читали форум (0):

Пользователи онлайн (0):

start [/forum/topic.php?fid=19&fpage=2&tid=1396671]:	0ms
get settings:	9ms
get forum list:	11ms
check forum access:	4ms
check topic access:	4ms
track hit:	362ms
get topic data:	15ms
get forum data:	3ms
get page messages:	61ms
get tp. blocked users:	2ms
others:	12ms

total:	483ms