验证SWT令牌REST WCF服务

Question

我目前正在研究WPF客户端，它从Windows Azure AppFabric ACS获取SWT令牌。有了这个令牌，我想要使用RESTful WCF服务。 我使用this tutorial来获得SWT令牌，它的工作原理非常完美。在this MSDN tutorial的帮助下，我创建了RESTful WCF服务。

问题在于令牌可能具有错误的格式，因为令牌验证程序无法验证它（令牌验证程序的方法IsHMACValid中的错误swtWithSignatur.Length == 1）。令牌

实例与我联系服务器：

{"appliesTo":"http://localhost:7100/Service/Default.aspx","context":null,"created":1326996221,"expires":1326999821,"securityToken":"<?xml version="1.0" encoding="utf-16"?><wsse:BinarySecurityToken wsu:Id="uuid:74ba5667-04ea-4074-9544-aaafb570c648" ValueType="http://schemas.xmlsoap.org/ws/2009/11/swt-token-profile-1.0" EncodingType="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#Base64Binary" xmlns:wsu="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd" xmlns:wsse="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd">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</wsse:BinarySecurityToken>","tokenType":"http://schemas.xmlsoap.org/ws/2009/11/swt-token-profile-1.0"}

在Windows Azure管理门户我选择SWT作为令牌格式为我的信赖方应用程序。 根据第一个教程，SWT令牌的格式看起来不错，但令牌验证器不会接受它。如果有人正在尝试第二个教程（如何：使用ACS对部署到Windows Azure的REST WCF服务进行身份验证）： 我认为步骤3中的第11点存在错误，您必须在其中修改web.config文件（system/webService部分不存在）。配置应该是这个样子：

<?xml version="1.0"?> 
<configuration> 
    <system.webServer> 
    <modules runAllManagedModulesForAllRequests="true"> 
     <add name="SWTModule" type="SecurityModule.SWTModule, SecurityModule" /> 
    </modules> 
    </system.webServer> 
</configuration> 

Answer 1

的令牌，我发送到服务器，有错误的格式。 上述标记是json格式，包含一个'securityToken'，它是xml编码的。用HttpUtility.UrlDecode和XMLReader可以检索base64字符串。上述令牌的基于64位字符串是：

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

我解码此字符串，并得到我的ACS令牌。此ACS令牌现在有效，可以使用我的RESTful WCF服务。

服务器端的代码没有改变。这是我已经有了客户端：

// parse the token from the json string, 
var token = JsonNotifyRequestSecurityTokenResponse.FromJson(txtReceivedToken.Text); 
// get the security token and decode it 
string xmlString = HttpUtility.UrlDecode(token.SecurityTokenString); 
// get the base64 string an 
string string64 = ""; 
using (XmlReader xmlReader = XmlReader.Create(new StringReader(xmlString))) { 
    while (xmlReader.Read()) { 
    if (xmlReader.NodeType == XmlNodeType.Text) { // find the first text element, which should be the base64 string 
     string64 = xmlReader.Value; 
     break; 
    } 
    } 
} 
// decode it 
string acsToken = base64Decode(string64); 

// set the header 
string headerValue = string.Format("WRAP access_token=\"{0}\"", acsToken); 
client.Headers.Add("Authorization", headerValue); 
Stream stream = client.OpenRead(@"http://127.0.0.1:81/Service1.svc/users"); 

StreamReader reader = new StreamReader(stream); 
String response = reader.ReadToEnd(); 

的base64Decode方法我从http://www.vbforums.com/showthread.php?t=287324“偷”。 JsonNotifyRequestSecurityTokenResponse.FromJson部分我从http://www.leastprivilege.com/得到，但我认为它可以解析任何可用的JSON解析器。

我不知道这是否是最好的解决方案，但它适用于我。