remoting中怎么对客户端进行身份验证?

oldhunter 2006-05-13 07:41:18

remoting中怎么对客户端进行身份验证? 网上竟然找不到一篇详细的文章,都是一笔概过.
用TcpChannel通道,我的理解是:
让用户提交用户名和密码,如果正确,把用户信息绑定到当前线程:Thread.CurrentPrincipal.然后在每个远程对象的方法或属性开头都进行验证该用户是不是合法的(通过数据库或文件保存合法用户信息). 是不是这样?
那用CallContext绑定用户信息也可以吧?
标准做法是怎么样的?

...全文

708 20 打赏收藏转发到动态举报

写回复

用AI写文章

20 条回复

切换为时间正序

请发表友善的回复…

发表回复

fengfangfang 2006-06-14

打赏
举报

MSDN 2003中有两篇文章
.NET Remoting Security Solution, Part 1:
.NET Remoting Security Solution, Part 2:

fengfangfang 2006-06-14

打赏
举报

.NET 远程处理在默认情况下不进行身份验证或加密。因此，建议您在与客户端或服务器进行远程交互之前，采取任何必要的措施确认它们的身份。因为 .NET 远程处理应用程序需要 FullTrust 权限才能执行，所以未经授权的客户端如果被授予了访问您的服务器的权限，该客户端就可能像完全受信任的客户端一样执行代码。应始终验证终结点的身份并将通信流加密，通过在 Internet 信息服务 (IIS) 中承载远程类型，或者通过生成自定义通道接收对来完成这项工作。

DragonCity1 2006-06-14

打赏
举报

Mark

liuqian0415 2006-06-11

打赏
举报

levinknight 2006-06-09

打赏
举报

不要在每个方法里都加验证

yanzimywife_2005 2006-06-08

打赏
举报

mark!

SaSBYa 2006-06-08

打赏
举报

自定义sink不是一种好的方法,似乎在下一代系统中,这些东西都会被取代.

qiushikong 2006-06-08

打赏
举报

自定义sink

oldhunter 2006-06-07

打赏
举报

http://community.csdn.net/Expert/topic/4807/4807760.xml?temp=.8147241

xxqq0824 2006-05-29

打赏
举报

mark

oldhunter 2006-05-27

打赏
举报

antoniusguo 2006-05-26

打赏
举报

mark

levinknight 2006-05-25

打赏
举报

mark

oldhunter 2006-05-23

打赏
举报

服务器端:
namespace RemoteServer
{
public class Scoop : MarshalByRefObject
{
public Scoop()
{
}

public string GetTheScoop(string name)
{
return "Here's the scoop, "
+ Thread.CurrentPrincipal.Identity.Name + "!";
}
}
}
配制文件:
<configuration>
<system.runtime.remoting>
<application>
<service>
<wellknown mode="SingleCall"
type="RemoteServer.Scoop,RemoteServer"
objectUri="Scoop.soap" />
</service>
</application>
</system.runtime.remoting>
<system.web>
<authentication mode="None" />
<authorization>
<deny users="?" />
</authorization>
</system.web></configuration>

客户端:
static void Main(string[] args)
{
ChannelServices.RegisterChannel(new HttpClientChannel());
RemotingConfiguration.RegisterWellKnownClientType(
typeof(RemoteServer.Scoop),
"http://localhost/ScoopRemoting/Scoop.soap");

Scoop srv = new Scoop();

IDictionary props = ChannelServices.GetChannelSinkProperties(srv);
props["username"] = "test";
props["password"] = "test";

string s = srv.GetTheScoop("Greg");
Console.WriteLine(s);
}

如果这样做的话,别人写个客户端不是可以随便模仿一下登录?
如果限制角色:
<authorization>
<allow role="aaaa" />
<deny users="*" />
</authorization>

别人如果知道你的角色是什么, 也可以写个客户端模仿吧?

Brunhild 2006-05-23