如何在使用WCF服务的WPF应用程序中集成LDAP
xte*_*408 8 c# authentication wpf wcf ldap
我将首先描述我的应用程序如何在没有LDAP的情况下工作.我有WPF应用程序,它使用WCF服务(身份验证窗口或UserName取决于用户选择).此服务允许与数据库通信.
我向用户显示"登录屏幕",以便允许他设置"用户名"和"密码",然后应用程序连接到服务并使用检查UserName和Password是否存在于数据库中的功能.(见下面的img)
现在,我还需要集成LDAP以根据现有系统验证用户帐户,而不必创建另一个登录帐户.
我对LDAP一无所知,对许多事情感到困惑.请原谅可能使用错误的术语.
我用谷歌搜索,但我仍然没有很多问题的答案.
1-我的数据库表"User"中存在的用户与我应该在LDAP中创建的配置文件之间的关系是什么?
2-我应该做些什么来允许用户从LDAP访问我的应用程序并使用我服务的所有功能?
3-我是否应该像我今天在我的应用程序中使用的其他身份验证类型("Windows"和"UserName")那样拥有服务类型"LDAP"?
4-如果我想更新上图所示的应用程序架构,我应该在哪里添加LDAP?
首先我来一一回答大家的问题,
LDAP 上的用户与数据库上的用户相同,您可以在用户表中保存 LDAP 的用户名及其域,但 LDAP 上的配置文件可能会因您的配置文件表而异,但可以从 LDAP 地址获取。
通过 LDAP 检查用户名和密码就足够了,只需将 LDAP 地址保存在表中(例如外部路径)并在用户和外部路径表之间建立关系。LDAP 地址包含一些规范。
是的,您必须有一个单独的机制来识别 LDAP 用户,我将进一步解释这一点。
如果一切都是原子的并且设计正确的话,这并不难,在进一步的步骤中,您可能会发现这很容易。
因此,让我讲述一下我在 LDAP 和在 LDAP 和 DB 上验证用户以及我们的架构方面的经验。
我实现了一个名为 的 WCF 服务Auth.svc,该服务包含一个名为 this 的方法,AuthenticateAndAuthorizeUser对于来自 LDAP 或任何地方的用户来说是透明的。
我希望您通过以下步骤获得通过 LDAP 和 DB 验证用户身份的线索和架构:
1-首先我有一个名为的表Users,其中保存用户信息和一个名为ExternalPath外键的字段,如果它为空,则指定用户名在数据库中及其密码,否则它来自UserDirectory。
2-在第二步中,您必须保存 LDAP 地址(在我的情况下,LDAP 地址在ExternalPath表中),所有 LDAP 地址通常都在端口上389。
3-实施验证用户,如果未找到(使用用户名和密码),则检查是否ExternalPath通过 LDAP 地址进行验证。
4-数据库架构应该类似于下面的屏幕截图。
正如您所看到的,ExternalPath字段指定用户是否来自 LDAP。
5-在表示层中,我也定义 LDAP 服务器,如下图所示
6-在另一侧,在系统中添加新用户时,您可以为用户定义 LDAP,在我的情况下,我在添加用户表单的下拉列表中列出 LDAP 标题(如果管理员选择 LDAP 地址,则不需要获取密码并保存它在 DB 中),正如我提到的,只需要保存 LDAP 用户名而不是密码。
7-但最后一件事是在 LDAP 和 DB 上验证用户身份。
所以验证方法是这样的:
User userLogin = User.Login<User>(username, password, ConnectionString, LogFile);
if (userLogin != null)
return InitiateToken(userLogin, sourceApp, sourceAddress, userIpAddress);
else//Check it's LDAP path
{
User user = new User(ConnectionString, LogFile).GetUser(username);
if (user != null && user.ExternalPath != null)
{
LDAPSpecification spec = new LDAPSpecification
{
UserName = username,
Password = password,
Path = user.ExternalPath.Path,
Domain = user.ExternalPath.Domain
};
bool isAthenticatedOnLDAP = LDAPAuthenticateUser(spec);
}
}
如果userLogin输入的用户名和密码不存在于数据库中,那么我们应该通过相关的 LDAP 地址对其进行身份验证。
在else块中从用户表中查找用户并获取它,ExternalPath如果该字段不为空,则意味着用户在 LDAP 上。
8-方法LDAPAuthenticateUser是:
public bool LDAPAuthenticateUser(LDAPSpecification spec)
{
string pathDomain = string.Format("LDAP://{0}", spec.Path);
if (!string.IsNullOrEmpty(spec.Domain))
pathDomain += string.Format("/{0}", spec.Domain);
DirectoryEntry entry = new DirectoryEntry(pathDomain, spec.UserName, spec.Password, AuthenticationTypes.Secure);
try
{
//Bind to the native AdsObject to force authentication.
object obj = entry.NativeObject;
DirectorySearcher search = new DirectorySearcher(entry);
search.Filter = "(SAMAccountName=" + spec.UserName + ")";
search.PropertiesToLoad.Add("cn");
SearchResult result = search.FindOne();
if (null == result)
{
return false;
}
}
catch (Exception ex)
{
Logging.Log(LoggingMode.Error, "Error authenticating user on LDAP , PATH:{0} , UserName:{1}, EXP:{2}", pathDomain, spec.UserName, ex.ToString());
return false;
}
return true;
}
如果引发异常,则LDAPAuthenticateUser表示用户目录中不存在用户。
身份验证代码接受域、用户名、密码和 Active Directory 中树的路径。
上面的代码使用 LDAP 目录提供程序进行身份验证方法调用LDAPAuthenticateUser并传入从用户收集的凭据。然后,使用目录树的路径、用户名和密码创建 DirectoryEntry 对象。对象DirectoryEntry尝试AdsObject通过获取NativeObject属性来强制绑定。如果成功,CN则通过创建对象DirectorySearcher并过滤SAMAccountName. 用户通过身份验证并且未发生异常后,方法返回 true 意味着用户在给定的 LDAP 地址上找到。
要查看有关轻量级目录访问协议的更多信息并通过它进行身份验证,此链接可能很有用,它详细介绍了规范。
希望能帮到你。