默认情况下,当我们把wcf服务器部署在IIS上时, 我们访问wcf时使用的是IIS内建的内建角色,对于IIS8.0,它被命名为ApplicationPoolIdentity, 一般来说,系统为每个应用程序池设定一个用户, 以下图为例,IIS中有个应用程序池MailSender, 使用任务管理器可以看到用户MailSender运行了一个IIS w3wp进程,这个用户在系统中并不是实际存在的,如果你需要分配文件夹权限给这个用户,需要使用的实际用户名为IIS AppPoolMailSender.
但出于安全策略考虑,有时我们不希望分配权限给这个内建用户,而是希望以一个特定的用户来调用WCF服务。比如我们创建一个特定用户只限于访问sql server, 我们该怎么做呢?
本篇 所述的示例,适用于如下场景:
若需要仿冒服务器端用户,取得服务器端某用户的权限,需要完成如下步骤:
一、开发WCF Service ,并在WCF服务实现类的相应方法的上标注如下OperationBehavior属性。
[OperationBehavior(Impersonation = ImpersonationOption.Required)]
二、部署WCF 服务到IIS ,配置授权方法为Windows验证. 参考下图中的配置
三、生成客户端代理,并且设置客户端凭证为要仿冒的凭证,参考如下代码(当然,你也可以在IIS 中直接指定固定的运行用户,方法是,在IIS中允许Asp.net Impersonation,在右键菜单中点击编辑à选择特定用户à设置…)
