WCF – exposing metadata over TCP

I think that everyone who has ever been working with WCF knows that we can enable metadata exchange by adding ServiceMetadataBehavior to App.config file

Up until yesterday the build in solution works fine for me. However recently I’ve had to expose metadata over TCP protocol. ServiceMetadataBehavior doesn’t have something like TcpGetEnabled property so in order to expose metadata over other protocols (in my case TCP) it is necessary to add custom MEX endpoint.

The endpoint configuration has to have a specific binding – in my case mexTcpBinding (there are of course MEX bindings available for other protocols). What is more, the contract has to be set to IMetadataExchange. The address value is up to us, we can use full blown address as well as leverage base address. At this point if we run service we will get the exception
Exception
Even though we added custom endpoint for metadata exchange we still have to use ServiceMetadataBehavior. This time however we can skip httpGetEnabled property

From now on we can access metadata over TCP
metadata over TCP
Source code for this post can be found here

WCF – exposing metadata over TCP

Silverlight – koncepcja logowania z użyciem MembershipProviders oraz WCF RIA cz.3 – Microsoft Enterprise Library Security Block

W tym wpisie postaram się krótko przedstawić blok bezpieczeństwa (Security Block) z biblioteki Microsoft Enterprise Library.
Biblioteki tej użyjemy do sprawdzania rol i reguł dostępu do funkcji serwisu WCF. Najpierw oczywiście musimy pobrać bibliotekę Microsoft Enterprise Library, znajduje się ona pod tym adresem.
http://www.microsoft.com/download/en/details.aspx?id=15104. Biblioteka ta jest również dostępna z poziomu NuGeta, jednakże instalacja poprzez ten plugin dorzuca do projektu tylko dll-ki. W pierwszym przypadku natomiast oprócz dll-ek zostaje również zainstalowane bardzo wygodne narzędzie ułatwiające konfigurację różnych modułów biblioteki.
Mając zainstalowane wszystkie potrzebne komponenty możemy przystąpić do działania. Zacznijmy od zmodyfikowania pliku Web.config, tak aby umożliwić naszemu systemowi korzystanie z ról – a tak właściwie aby umożliwić edycję, tworzenie, usuwanie oraz przypisywanie ról użytkownikom.W sekcji

dorzucamy następujące wpisy

W tym momencie dodaliśmy do kolekcji menadżerów ról (Role managers) nowy provider -nie jest to jednak MembershipProvider lecz RoleProvider, a dokładniej dostarczony przez framework SqlRoleProvider. Provider ten jest przystosowany do działania na bazie danych o takiej strukturze, jak baza, którą stworzyliśmy w części pierwszej. Po konfiguracji providera przyszedł czas na dodanie przykładowego użytkownika oraz przypisanie mu jakiejś roli. Wybieramy opcję “ASP.NET Configuration” z menu “Project”, następnie na stronie na którą zostaniemy przeniesieni, przechodzimy na zakładkę “Security”
Configuration
admintool
W kolejnym kroku dodajemy role – klikamy w “Create or Manage roles”,a w stronie, która się otworzy wpisujemy nazwę roli np.”Developer”. Postępując w podobny sposób dodajmy jeszcze role “Admin”. Następnie tworzymy użytkownika – klikamy w “Create user”, a następnie wypełniamy pola podobnie jak na załączonym poniżej screenie
admintoolpass
Mając stworzonego przykładowego użytkownika możemy przystąpić do ograniczenia dostępu do niektórych funkcji naszego serwisu. W tym celu, po pierwsze modyfikujemy funkcję logowania.

Jak widać, przy tworzeniu użytkownika dodatkowo pobieramy z bazy danych jego wszystkie role. Statyczna funkcja GetRolesForUser pobiera role przy pomocy domyślnego RoleProvidera.
Dodajmy teraz do naszego DataAccesService-u dwie funkcje.

  • OnlyAdminCanDownloadThis
  • DevelopersCanDownloadThis

Dane pobierane przez pierwszą funkcję mogą być odczytane jedynie przez użytkowników, którzy są administratorami systemu. Natomiast dane z funkcji drugiej mogą być odczytane przez developerów (oczywiście admin również może pobrać te dane). Zastanówmy się teraz w jaki sposób sprawdzić czy dany użytkownik ma dostęp do danych. Możemy sprawdzać role ręcznie (niewygodne), użyć znanego z ASP.NET atrybutu PrincipalPermission (mało elastyczne) lub skorzystać z Microsoft Enterprise Library (całkiem dobra opcja). Security Block z biblioteki Microsoft Enterprise Library ma tę przewagę nad wcześniej wspomnianymi rozwiązaniami, że wprowadza on tzw. reguły(Rules). Dzięki nim możemy w łatwy sposób zdefiniować warunki jakie musi spełnić użytkownik aby zezwolić mu na dostęp w jakieś miejsce systemu. Skonfigurujmy zatem prostą regułę – regułą ta pozwoli na dostęp do danych jedynie tym użytkownikom,którzy mają prawo administratora. Klikamy PPM na plik Web.config i wybieramy z niego opcję “Edit Enterprise Library V5 Configuration” – opcja ta została dodana po instalacji biblioteki Microsoft Enterprise Library.
editenterprise
W oknie które się otworzy wybieramy “Add Security Settings” z menu “Blocks”.
addsecurity
W głównym oknie aplikacji pojawi się nowy element – “Security Settings”. Klikamy na znak “+” obok “Authorization Providers”, następnie z rozwiniętego menu przechodzimy na “Add Authorization Providers” i ostatecznie klikamy na “Add Authorization Rule Provider”
authorization
W ten sposób dodaliśmy domyślny “Rule Provider”, teraz możemy stworzyć reguły dostępu do naszej aplikacji. W tym celu musimy kliknąć w lewy dolny róg pola “Authorization Rule Provider”, a następnie z menu, które się pojawi wybrać “Add Authorization Rule”
rule
W oknie aplikacji pojawi się nowy element – “Authorization Rule”, nadajmy mu nazwę “DevelopersOnly”, a następnie zdefiniujmy tzw. “Rule expression”. “Rule expression” jest warunek jaki musi zostać spełniony, aby użytkownik uzyskał dostęp do części aplikacji chronionej przez regułę “DevelopersOnly”. Wyrażenie to możemy wpisać ręcznie, lub poprzez prosty kreator – dostępny jest on pod przyciskiem “…”.
Stwórzmy więc regułę, która pozwoli tylko użytkownikom typu Developer oraz oczywiście adminowi mieć dostęp do jakieś części aplikacji. Otwórzmy zatem “Rule Expression Editor” (dostępny on jest pod przyciskiem “…”), kliknijmy na przycisk “Role”, wpiszmy “Developer”, następnie kliknijmy w przycisk “OR”, wpiszmy “Admin”.Możemy również wpisać następujące wyrażenie ręcznie

ruleeditor
Stworzyliśmy zatem regułę pozwalającą na dostęp użytkownikom typu Developer (R:Developer) oraz administratorom (R:Admin). Aby zatwierdzić zmiany wybieramy “Save” z menu “File”. W pliku Web.config pojawiły się teraz następujące linijki

Do powyżej konfiguracji musimy jeszcze dorzucić wybór domyślnego providera – dodajmy zatem następujący wpis do linii

Wykorzystajmy teraz stworzoną właśnie regułę aby zabezpieczyć wspomnianą wcześniej funkcję “DevelopersCanDownloadThis”. Po pierwsze stwórzmy pomocniczą klasę pomocniczą SecurityHelper i dodajmy do niej metodę IsAuthorized, która wygląda w następujący sposób:

Następnie w funkcji “DevelopersCanDownloadThis” musimy sprawdzić czy użytkownik może wykorzystać tą funkcję – w tym celu wykorzystujemy funkcję IsAuthorized. Może wyglądać to w następujący sposób

Logując się na użytkownika, który posiada prawo/rolę “Developer” będziemy mogli pobrać dane wykorzystując funkcję “DevelopersCanDownloadThis” w przeciwnym razie do klienta zostanie rzucony wyjątek z odpowiednim komunikatem. Niestety Security Block nie został jeszcze przeniesiony na platformę Silverlightową, zatem przedstawionych powyżej sposobów sprawdzania praw dostępu(np. do jakiejś funkcjonalności) nie możemy zastosować po stronie klienta.

Silverlight – koncepcja logowania z użyciem MembershipProviders oraz WCF RIA cz.3 – Microsoft Enterprise Library Security Block