博客园_成长的足迹.NET

不同.net版本实现单点登录

2011-09-28T03:54:00Z

所谓单点登录（Single Sign On就是在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统。其实对于程序员在技术上要实现就得就是多个不同域名间共享cookie的问题。
最近在为ERP添加一个部署在另一台机器上，链接到原有老系统中的子项目，调用原有老项目中的Login实现单点登录，尝试了N次屡试不成，最后确定问题，是，.net2.0与4.0中对cookie的加密/解密方法由此差异，于是经过研究，重写实现了一个可以在不同.net版本中实现单点登录的简单方法。

1,共用登陆页代码实现：

protected void btnLogin_Click(object sender, EventArgs e)
{
　　//认证开票，跳转到原始请求页面
System.Web.Security.FormsAuthentication.RedirectFromLoginPage("ejiyuan", false);
}

2,配置文件：

<authorization>
    <deny users="?"/>
</authorization>

<authentication mode="Forms">
    <forms name=".ASPNET" protection="All" enableCrossAppRedirects="true" loginUrl="Login.aspx" timeout="2880" path="/" domain=".local.com"/>
</authentication>

<machineKey validationKey="F9D1A2D3E1D3E2F7B3D9F90FF3965ABDAC304902" decryptionKey="F9D1A2D3E1D3E2F7B3D9F90FF3965ABDAC304902F8D923AC" validation="SHA1" decryption="3DES" /> <compilation debug="true"/>

这里：authentication/forms节点最重要的两个属性是name和protection. 所有实现单点登录的项目都要是相同的配置就这样，才可以在不同程序中同样的保护级别下读写Cookie
当 protection属性设置为 "All",通过Hash值进行加密和验证数据都存放在Cookie中.默认的验证和加密使用的Key都存储在machine.config文件,我们可以在应用程序的Web.Config文件覆盖这些值.默认值如下:

<machineKeyvalidationKey="AutoGenerate,IsolateApps"decryptionKey=" AutoGenerate,IsolateApps"validation="SHA1" />

IsolateApps表示为每个应用程序生成不同的Key.我们不能使用这个.为了能在多个应用程序中使用相同的Key来加密解密cookie,我们可以移除IsolateApps 选项或者更好的方法是在所有需要实现SSO的应用程序的Web.Config中设置一个具体的Key值:

如果你使用同样的存储方式,实现SSO只是改动一下Web.config而已，必须保证单点中的每个应用程序都有相同的配置，如果单点登录的应用程序是跨不同.net版本的，这里的加密/解密不要使用md5

3,没有登录页的单点登录不需要代码直接配置就可以了，配置如下

4，登录模块从定向代码封装在httpModules中供其他系统直接调用，这里附上封装代码与引用方法：

public class SsoLoginRedirectModule : IHttpModule
{
    public void Init(HttpApplication i_application)
    {
        // TODO:  Add UploadModule.Init implementation
        i_application.EndRequest += new EventHandler(i_application_EndRequest);
    }

    void i_application_EndRequest(object sender, EventArgs e)
    {
        if ((HttpContext.Current.Response.StatusCode == 302) && HttpContext.Current.Response.RedirectLocation.Contains(FormsAuthentication.LoginUrl))
        {
            HttpContext.Current.Response.RedirectLocation = FormsAuthentication.LoginUrl + "?ReturnUrl=" + HttpUtility.UrlEncode(HttpContext.Current.Request.Url.OriginalString);
        }
    }

    public void Dispose()
    {
        //throw new NotImplementedException();
    }
}

引用：　

本文链接

基于WCF大型分布式系统的架构设计

2010-11-18T02:02:00Z

在大型系统中应用中，一个架构设计较好的应用系统，其总体功能肯定是由很多个功能模块所组成的，而每一个功能模块所需要的数据对应到数据库中就是一个或多个表。而在架构设计中，各个功能模块相互之间的交互点越统一、越少，系统的耦合度就越低，系统各个模块的维护性及扩展性也就越好。
在一个系统中特别是较为大型的系统中，如电子商务系统，可也按照功能，切分为，订单管理系统、商品管理系统、用户管理系统、供应商管理系统...等等，在这样的应用中系统切分了、功能独立了、耦合降低了、容易维护了、可是各个系统中的通讯怎么完成呢，如果，用户系统想查询某个用户的订单信息，要怎么做呢？是要直接引用，订单系统的DLL,还是把这些需要相互调用的功能放在一个叫Common的项目中供所有子系统调用呢，或者干脆直接在用户系统中跨库查询订单库，这些方法都不优良，这个时候该到微软的利器WCF亮相的时候了，先看下面架构图

这个样设计的优点：
1.层与层之间的服务器可以灵活组合，每层中的服务器，可水平扩展（集群），可纵向扩展（按系统/域/功能切分）
2.所有中间件服务即可为本系统提供服务也可以为其他系统提供服务（甚至是第三方如：java的），提供系统间的无缝连接，系统之间的耦合不依赖于应用程序也不依赖于数据库，而依赖于服务接口。
3.所有对数据库的操作都依赖于中间件，不允许对数据库直接操作,这样即达到了数据库的安全性，又能给应用程序服务器减压，因为实际的查询工作不在由应用程序服务器的数据访问层完成，而是分担给这个中间件服务器完成。

本文链接

数据库大型应用解决方案总结

2010-10-29T02:39:00Z

随着互联网应用的广泛普及，海量数据的存储和访问成为了系统设计的瓶颈问题。对于一个大型的互联网应用，每天百万级甚至上亿的PV无疑对数据库造成了相当高的负载。对于系统的稳定性和扩展性造成了极大的问题。

一、负载均衡技术
负载均衡集群是由一组相互独立的计算机系统构成，通过常规网络或专用网络进行连接，由路由器衔接在一起，各节点相互协作、共同负载、均衡压力，对客户端来说，整个群集可以视为一台具有超高性能的独立服务器。

1、实现原理
实现数据库的负载均衡技术，首先要有一个可以控制连接数据库的控制端。在这里，它截断了数据库和程序的直接连接，由所有的程序来访问这个中间层，然后再由中间层来访问数据库。这样，我们就可以具体控制访问某个数据库了，然后还可以根据数据库的当前负载采取有效的均衡策略，来调整每次连接到哪个数据库。
2、实现多据库数据同步
对于负载均衡，最重要的就是所有服务器的数据都是实时同步的。这是一个集群所必需的，因为，如果数不据实时、不同步，那么用户从一台服务器读出的数据，就有别于从另一台服务器读出的数据，这是不能允许的。所以必须实现数据库的数据同步。这样，在查询的时候就可以有多个资源，实现均衡。比较常用的方法是Moebius for SQL Server集群，Moebius for SQL Server集群采用将核心程序驻留在每个机器的数据库中的办法，这个核心程序称为Moebius for SQL Server 中间件，主要作用是监测数据库内数据的变化并将变化的数据同步到其他数据库中。数据同步完成后客户端才会得到响应，同步过程是并发完成的，所以同步到多个数据库和同步到一个数据库的时间基本相等；另外同步的过程是在事务的环境下完成的，保证了多份数据在任何时刻数据的一致性。正因为Moebius 中间件宿主在数据库中的创新，让中间件不但能知道数据的变化，而且知道引起数据变化的SQL语句，根据SQL语句的类型智能的采取不同的数据同步的策略以保证数据同步成本的最小化。

数据条数很少，数据内容也不大，则直接同步数据
数据条数很少，但是里面包含大数据类型，比如文本，二进制数据等，则先对数据进行压缩然后再同步，从而减少网络带宽的占用和传输所用的时间。
数据条数很多，此时中间件会拿到造成数据变化的SQL语句，然后对SQL语句进行解析，分析其执行计划和执行成本，并选择是同步数据还是同步SQL语句到其他的数据库中。此种情况应用在对表结构进行调整或者批量更改数据的时候非常有用。
3、优缺点
(1) 扩展性强：当系统要更高数据库处理速度时，只要简单地增加数据库服务器就可以得到扩展。
(2) 可维护性：当某节点发生故障时，系统会自动检测故障并转移故障节点的应用，保证数据库的持续工作。
(3) 安全性：因为数据会同步的多台服务器上，可以实现数据集的冗余，通过多份数据来保证安全性。另外它成功地将数据库放到了内网之中，更好地保护了数据库的安全性。
(4) 易用性：对应用来说完全透明，集群暴露出来的就是一个IP

(1) 不能够按照Web服务器的处理能力分配负载。
(2) 负载均衡器(控制端)故障，会导致整个数据库系统瘫痪。

二、数据库的读写分离
1，实现原理：读写分离简单的说是把对数据库读和写的操作分开对应不同的数据库服务器，这样能有效地减轻数据库压力，也能减轻io压力。主数据库提供写操作，从数据库提供读操作，其实在很多系统中，主要是读的操作。当主数据库进行写操作时，数据要同步到从的数据库，这样才能有效保证数据库完整性。

(ebay的读写比率是260:1,ebay的读写分离)

(微软数据库分发)

2，实现方法：在MS Sql server中可以使用发布定义的方式实现数据库复制，实现读写分离，复制是将一组数据从一个数据源拷贝到多个数据源的技术，是将一份数据发布到多个存储站点上的有效方式。使用复制技术，用户可以将一份数据发布到多台服务器上。复制技术可以确保分布在不同地点的数据自动同步更新，从而保证数据的一致性。SQL SERVER复制技术类型有三种，分别是：快照复制、事务复制、合并复制。SQL SERVER 主要采用出版物、订阅的方式来处理复制。源数据所在的服务器是出版服务器，负责发表数据。出版服务器把要发表的数据的所有改变情况的拷贝复制到分发服务器，分发服务器包含有一个分发数据库，可接收数据的所有改变，并保存这些改变，再把这些改变分发给订阅服务器。

3，优缺点
(1)数据的实时性差:数据不是实时同步到自读服务器上的，当数据写入主服务器后，要在下次同步后才能查询到。

(2)数据量大时同步效率差：单表数据量过大时插入和更新因索引,磁盘IO等问题，性能会变的很差。

(3)同时连接多个（至少两个）数据库：至少要连接到两个数据数据库，实际的读写操作是在程序代码中完成的，容易引起混乱

(4)读具有高性能高可靠性和可伸缩:只读服务器，因为没有写操作，会大大减轻磁盘IO等性能问题，大大提高效率；只读服务器可以采用负载均衡，主数据库发布到多个只读服务器上实现读操作的可伸缩性。

三、数据库拆分(分布式)

通过某种特定的条件，将存放在同一个数据库中的数据分散存放到多个数据库上，实现分布存储，通过路由规则路由访问特定的数据库，这样一来每次访问面对的就不是单台服务器了，而是N台服务器，这样就可以降低单台机器的负载压力。

垂直(纵向)拆分：是指按功能模块拆分，比如分为订单库、商品库、用户库...这种方式多个数据库之间的表结构不同。

水平(横向)拆分：将同一个表的数据进行分块保存到不同的数据库中，这些数据库中的表结构完全相同。

（纵向拆分）

（横向拆分）

1，实现原理：使用垂直拆分，主要要看应用类型是否合适这种拆分方式，如系统可以分为，订单系统，商品管理系统，用户管理系统业务系统比较明的，垂直拆分能很好的起到分散数据库压力的作用。业务模块不明晰，耦合（表关联）度比较高的系统不适合使用这种拆分方式。但是垂直拆分方式并不能彻底解决所有压力问题，例如有一个5000w的订单表，操作起来订单库的压力仍然很大，如我们需要在这个表中增加（insert）一条新的数据，insert完毕后，数据库会针对这张表重新建立索引，5000w行数据建立索引的系统开销还是不容忽视的，反过来，假如我们将这个表分成100个table呢，从table_001一直到table_100，5000w行数据平均下来，每个子表里边就只有50万行数据，这时候我们向一张只有50w行数据的table中insert数据后建立索引的时间就会呈数量级的下降，极大了提高了DB的运行时效率，提高了DB的并发量，这种拆分就是横向拆分

2，实现方法：垂直拆分，拆分方式实现起来比较简单，根据表名访问不同的数据库就可以了。横向拆分的规则很多，这里总结前人的几点，

(1)顺序拆分：如可以按订单的日前按年份才分，2003年的放在db1中，2004年的db2,以此类推。当然也可以按主键标准拆分。

优点：可部分迁移

缺点：数据分布不均，可能2003年的订单有100W，2008年的有500W。

(2)hash取模分：对user_id进行hash（或者如果user_id是数值型的话直接使用user_id的值也可），然后用一个特定的数字，比如应用中需要将一个数据库切分成4个数据库的话，我们就用4这个数字对user_id的hash值进行取模运算，也就是user_id%4,这样的话每次运算就有四种可能：结果为1的时候对应DB1；结果为2的时候对应DB2；结果为3的时候对应DB3；结果为0的时候对应DB4，这样一来就非常均匀的将数据分配到4个DB中。
优点：数据分布均匀
缺点：数据迁移的时候麻烦；不能按照机器性能分摊数据。
(3)在认证库中保存数据库配置
就是建立一个DB，这个DB单独保存user_id到DB的映射关系，每次访问数据库的时候都要先查询一次这个数据库，以得到具体的DB信息，然后才能进行我们需要的查询操作。
优点：灵活性强，一对一关系
缺点：每次查询之前都要多一次查询，会造成一定的性能损失。

本文链接

从软件生命周期说项目经理工作职责与流程

2010-06-03T05:10:00Z

一、需求分析
需求分析是对用户的业务活动进行分析，确定系统的目的、范围、定义和功能，明确在用户的业务环境中软件系统应该"做什么"。只有在确定了客户需求后，知道要“做什么”，才能够分析和寻求系统的解决方法，开展后续的工作，所以需求分析是软件工程中的一个关键过程。
这一步骤要产生用户需求说明书，这个说明书既是给用户看的也是给开发人员看的，可以让用户更加确定自己的需求，让开发人员了解用户的需求。可以在需求说明说中包含业务流程图，来描述项目的业务流程。

二、软件设计
软件设计的主要任务是把需求分析得到的结果转换为软件结构和数据结构，建立目标系统的逻辑模型，从而形成系统架构。明确软件系统应该"怎样做"
概要设计
1. 软件结构设计：将一个复杂系统按功能进行模块划分、建立模块的层次结构及调用关系、确定模块间的接口及人机界面等。
2. 数据结构设计：数据特征的描述、确定数据的结构特性、以及数据库的设计。
详细设计
　1．为每个模块确定采用的算法，选择某种适当的工具表达算法的过程，写出模块的详细过程性描述；　　
2．确定每一模块使用的数据结构；　　
3．确定模块接口的细节，包括对系统外部的接口和用户界面，对系统内部其它模块的接口，以及模块输入数据、输出数据及局部数据的全部细节。　　
4．要为每一个模块设计出一组测试用例，以便在编码阶段对模块代码（即程序）进行预定的测试。
这一步骤需要产生系统概要设计说明书和系统详细设计说明书。

三、软件编码
　软件编码就是将上一阶段的详细设计得到的处理过程的描述转换为基于某种计算机语言的程序，即源程序代码。
1．制定项目开发计划文档，制订编码规范、量化任务，并合理分配给相应的人员。
2．跟踪项目的进度，协调项目组成员之间的合作。
3．监督产生项目进展各阶段的文档，保证文档的完整和规范。
4．跟踪开发过程中的需求变更，与用户沟通确定变更需求，更改开发计划。

四、软件测试
软件测试就是利用测试工具按照测试方案和流程对产品进行功能和性能测试，需要跟踪故障，以确保开发的产品适合需求。
项目经理需了解测试结果，根据测试的bug的严重程度来安排项目bug更改计划。

五、运行维护
软件维护主要是指根据需求变化或硬件环境的变化对应用程序进行部分或全部的修改，修改时应充分利用源程序。修改后要填写程序改登记表，并在程序变更通知书上写明新旧程序的不同之处。
项目经理需要配合部署人员做项目部署，了解项目部署环境，跟踪项目运行期间产生的bug安排相关人员对相应bug进行更改

本文链接

.NET 4中Entity Framework 新增查询与优化

2010-06-01T08:59:00Z

外键支持（Foreign Keys）

Entity Framework添加了对外键的支持。利用外键关联，您现在可以将外键属性包含在实体里，这样做可以简化诸如数据绑定、n-tier开发等关键方案的开发。您可以直接使用外键属性设置实体之间的关系：

    using (BlogEntities ctx = new BlogEntities()) {

        Post myPost = new Post {

            PostID = 102,

            PostName = "Post Title",

            CreatedDate = DateTime.Now,

            PostContent = "Post Content",

            BlogID = 11

        };

        ctx.Posts.AddObject(myPost);

        ctx.SaveChanges();

    }

在这个例子里，即使BlogID == 11的这个Blog对象从未被装载，我们也可以直接把新建的myPost对象与这个Blog对象之间的关系通过外键关联起来。

延迟加载支持（Lazy Loading）

现在Entity Framework支持延迟加载。一个新的模型在VS2010中被创建的同时，提供延迟加载功能的实体也被生成出来。默认情况下这个功能是开启的，一个查询操作返回的实体对象并不会被马上加载，而是会在实际被使用的时候加载。举例来说，延迟加载意味着下面这个代码段里，每个Post对象会在实际被调用来打印PostName属性的时候被加载。

   using (var ctx = new BlogEntities()) {
        foreach (var b in ctx.Blogs) {
            Console.WriteLine(b.BlogName);
            //请注意我们并未主动装载当前blog的posts
            //EF会为我们延迟加载
            foreach (var p in b.Posts)
                Console.WriteLine(p.PostName);
        }
    }

加入SQL语句LIKE的生成支持

在EF4中，加入对于WHERE语句的字符串参数使用数据库的通配符的支持。例如下面的LINQ查询语句会被翻译成一个使用WHERE子句和LIKE语句，并使用‘%’通配符在所有的Blogs里搜索BlogName属性以‘Visual Studio’开头的Blog。

    var query = from b in ctx.Blogs
                where b.BlogName.StartsWith("Visual Studio")
                select b;

加入SQL语句IN的生成支持

在EF4中，加入对于WHERE语句的参数多个值查询的支持。例如下面的LINQ查询语句会被翻译成一个使用WHERE子句和IN语句，并使用一个数组在所有的Blogs里搜索BlogName属性为"Visual"和"Studio"的所有数据。

    var query = from b in ctx.Blogs
                where new string[] { "Visual", "Studio" }.Contains( b.BlogName)
                select b;

本文链接

WCF身份验证之用户名密码认证

2010-05-31T10:02:00Z

WCF支持多种认证技术，例如Windowns认证、X509证书、Issued Tokens、用户名密码认证等，在跨Windows域分布的系统中，用户名密码认证是比较常用的，要实现用户名密码认证，就必须需要X509证书,用来加密用户名和密码。

1. 创建数字证书

makecert -sr localmachine -ss My -n CN=ejiyuan -sky exchange -pe -r。

2. 创建服务代码

[ServiceContract]
    public interface ICalculator
    {
        [OperationContract]
        double add(double x, double y);
    }

    public class CalculatorService : ICalculator
    {

        public double add(double x, double y)
        {
            return x + y;
        }
    }
    class Program
    {
        static void Main(string[] args)
        {
            ServiceHost _serviceHost = new ServiceHost(typeof(CalculatorService));
            _serviceHost.Opened += (s, q) =>
            {
                Console.WriteLine("服务已启动");
                Console.Read();
            };
            _serviceHost.Open();
        }
    }

3. 设置安全验证模式

4. 设置服务凭据值

5. 自定义证书验证
通过继承自'System.IdentityModel.Selectors.UserNamePasswordValidator'，然后我们重写里面的'Validate'方法来实现用户名密码认证逻辑

    public class UserNamePasswordValidator : System.IdentityModel.Selectors.UserNamePasswordValidator
    {
        public override void Validate(string userName, string password)
        {
            if (userName != "ejiyuan" || password != "123456")
            {
                throw new System.IdentityModel.Tokens.SecurityTokenException("Unknown Username or Password");
            }
        }
    }

6. 客户端代码

    class Program
    {
        static void Main(string[] args)
        {
            CalculatorClient client = new CalculatorClient();
            //指定认证的用户名和密码
            client.ClientCredentials.UserName.UserName = "ejiyuan";
            client.ClientCredentials.UserName.Password = "123456";

            var q = client.add(1, 2);
            Console.WriteLine(client.add(1,2));
            Console.Read();
        }
    }

7. 客户端配置信息（自动生成的）

    <system.serviceModel>
        <bindings>
            <netTcpBinding>
                <binding name="NetTcpBinding_ICalculator" >
                    <security mode="Message">
                        <transport clientCredentialType="Windows" protectionLevel="EncryptAndSign" />
                        <message clientCredentialType="UserName" />
                    </security>
                </binding>
            </netTcpBinding>
        </bindings>
        <client>
            <endpoint address="net.tcp://192.168.101.13:8000/calculatorservice"
                binding="netTcpBinding" bindingConfiguration="NetTcpBinding_ICalculator"
                contract="ServiceReference1.ICalculator" name="NetTcpBinding_ICalculator">
                <identity>
                    <certificate encodedValue="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" />
                </identity>
            </endpoint>
        </client>
    </system.serviceModel>

备注：基于UserNamePasswordValidator的认证方式，Validator中可以知道相应的UserName和Password，在Service中直接使用OperationContext.Current.ServiceSecurityContext.PrimaryIdentity即可获取当前登录用户信息。

本文链接

WCF身份验证之X509证书

2010-05-31T08:54:00Z

X.509 数字证书是在 Internet 环境下，最方便的认证方式

1. 创建数字证书

X509证书可以通过证书颁发机构（如 VeriSign Inc）购买或通过MakeCert.exe 工具创建开发期间使用的临时证书
   .制作一个证书。制作证书：makecert -sr localmachine -ss My -n CN=ejiyuan -sky exchange -pe -r。
       参考：http://msdn.microsoft.com/zh-cn/library/aa702761.aspx
   .导出证书文件，带密钥的pfx文件。使用mmc
   .导入证书到信任的人。
   .导入证书到信任的机构，这个证书就被信任了。

2. 创建服务代码

3. 设置安全验证模式

4. 设置服务凭据值

5. 自定义证书验证
   这里通过证书的指纹码进行认证。每个客户端的数字证书名称和序号的组合都是唯一的指纹码。必须通过继承自'System.IdentityModel.Selectors.X509CertificateValidator'，然后我们重写里面的'Validate'方法来实现自己的X509认证逻辑
   可以通过证书相信信息得到指纹码如下：

    public class MyX509Validator : System.IdentityModel.Selectors.X509CertificateValidator
    {

        public override void Validate(System.Security.Cryptography.X509Certificates.X509Certificate2 certificate)
        {
            if (certificate == null)
            {
                throw new ArgumentNullException("X509认证证书为空！");
            }
            if (certificate.Thumbprint != "82fb736f2464c481859f852ecb10f6f9726c265f".ToUpper())
            {
                throw new System.IdentityModel.Tokens.SecurityTokenException("Certificate Validation Error!");
            }
        }
    }

6. 客户端代码

class Program
    {
        static void Main(string[] args)
        {
            CalculatorClient client = new CalculatorClient();
            //查询客户端已安装的证书
            client.ClientCredentials.ClientCertificate.SetCertificate(StoreLocation.CurrentUser, StoreName.My, X509FindType.FindBySubjectDistinguishedName, "CN=ejiyuan");
            var q = client.add(1, 2);
            Console.WriteLine(client.add(1,2));
            Console.Read();
        }
    }

7. 客户端配置信息（自动生成的）

<system.serviceModel>
        <bindings>
            <netTcpBinding>
                <binding name="NetTcpBinding_ICalculator" >
                    <security mode="Message">
                        <transport clientCredentialType="Windows" protectionLevel="EncryptAndSign" />
                        <message clientCredentialType="Certificate" />
                    </security>
                </binding>
            </netTcpBinding>
        </bindings>
        <client>
            <endpoint address="net.tcp://192.168.101.13:8000/calculatorservice"
                binding="netTcpBinding" bindingConfiguration="NetTcpBinding_ICalculator"
                contract="ServiceReference1.ICalculator" name="NetTcpBinding_ICalculator">
                <identity>
                    <certificate encodedValue="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" />
                </identity>
            </endpoint>
        </client>
    </system.serviceModel>

本文链接

说说WCF通信安全

2010-05-31T06:59:00Z

WCF中每个标准绑定都提供用于控制传输安全性要求的参数。这些参数通常包括指定是使用消息级安全性还是使用传输级安全性的安全模式，还包括客户端凭据类型的选项。基于这些参数提供的可供选择的选项，构建一个具有适当安全性的信道堆栈。
Transfer Security 主要包括三个方面： "消息完整性(Message Integrity)"、"消息机密性 (Message Confidentiality)" 和 "交互验证(Mutual Authentication)"。

•消息完整性必须确保消息在传输过程中没有被篡改，接收的消息是完整且正确的；
•消息机密性必须确保消息不会被任何第三方查阅，消息内容不会泄漏给任何非相关人员；
•交互认证则是指客户端和服务器必须通过某种信任机制才能建立正确的连接，同时交互认证还要监测并阻止拒绝服务攻击(DOS)。通常的做法是对消息进行数字签名来确保其完整性，使用非对称加密算法来阻止消息内容外泄，而用户名/密码、X.509 数字证书等方式则可以用来验证对方身份。

WCF 安全编程基于三个步骤是选择安全模式、选择客户端凭据类型和设置凭据值

1，选择安全模式

WCF通信安全性分为消息级别、传输级别两个部分认证，Security Mode可以选择使用的传输级安全性和消息级安全性的类型，此属性解决的问题是在那里层（部分）进行安全认证。
WCF 提供了 5 种不同的安全方式来实现上述三个安全目标。
•None: 不采取任何安全措施，仅适合在内部安全环境使用。
•Transport: 在传输协议级别上对通道的所有通讯进行加密，可使用的通讯协议包括 HTTPS、TCP、IPC 和 MSMQ。优点是应用广泛，多平台支持，实施方便简单，效率极高，适合高吞吐量的服务使用；缺点是只能实现点对点(point-to-point)的消息安全，在使用中介连接(Proxy)时可能会泄漏消息内容，比较适用于于 Intranet 或直接连接的环境。
•Message: 通过相关标准(如 WS-Security)直接对消息进行加密来达到安全目的。优点是能实现端到端(end-to-end)的安全传输，不存在中介安全隐患，且扩展性较好。因采取工业安全标准，所以整合能力更强，适用于 Internet 服务。缺点是比 Transport 效率要低一些。
•TransportWithMessageCredential: 使用 Transport 方式完成消息完整性、消息机密性以及服务器认证，而使用 Message 方式完成客户端认证。
•Both: 使用 Transport 和 Message 共同完成所有的安全过程，性能低下，只有 NetMsmqBinding 支持这一安全方式。

附：NetTcpBinding、NetNamedPipeBinding 和 NetMsmqBinding 缺省使用 Transport 安全方式，原因是因为它们多用于 Intranet 环境下，相对比较安全。另外 Transport 方式拥有较好的性能，也非常适合内部高性能服务系统使用。BasicHttpBinding 缺省采取 None 方式是为了兼容 ASMX。

我们可以通过编码或者配置文件的方式来指定 Binding 的安全方式。

NetTcpBinding binding = new NetTcpBinding();
binding.Security.Mode = SecurityMode.Message;

app.config

2，选择客户端凭据类型，凭据是WCF用于创建已声明的标识或功能的数据。客户端必须提供该凭据才能与您的服务进行通信。此属性解决的问题是怎样进行安全认证。

传输凭据类型
下表列出了在传输安全模式下可以由绑定使用的客户端凭据的可能类型。创建服务时，将 ClientCredentialType 属性设置为这些值之一以指定凭据类型，客户端必须提供该凭据才能与您的服务进行通信。可以在代码或配置文件中设置这些类型。

•None 指定客户端不需要提供任何凭据。这相当于匿名客户端。
•Basic 为客户端指定基本身份验证。
•Digest 为客户端指定摘要式身份验证。
•Ntlm 指定 NT LAN Manager (NTLM) 身份验证。在由于某种原因无法使用 Kerberos 身份验证时使用。还可以通过将 AllowNtlm 属性设置为 false 来禁止将 NTLM 用作回退身份验证，这将使 WCF 在使用 NTLM 时尽可能引发异常。请注意，将此属性设置为 false 可能不阻止通过网络发送 NTLM 凭据。
•Windows 指定 Windows 身份验证。若要在 Windows 域上仅指定 Kerberos 协议，则将 AllowNtlm 属性设置为 false（默认值为 true）。
•Certificate 使用 X.509 证书执行客户端身份验证。
•UserName 用户必须提供用户名和密码。使用 Windows 身份验证或其他自定义解决方案验证用户名/密码对。

消息客户端凭据类型
下表列出了在创建使用消息安全的应用程序时可以使用的可能的凭据类型。可以在代码或配置文件中使用这些值。
•None 指定客户端不需要提供凭据。这相当于匿名客户端。
•Windows 允许在使用 Windows 凭据建立的安全上下文中交换 SOAP 消息。
•UserName 允许服务可以要求使用用户名凭据对客户端进行身份验证。请注意，WCF 不允许使用用户名进行任何加密操作，例如生成签名或加密数据。WCF 可确保在使用用户名凭据时传输会受到保护。
•Certificate 允许服务可以要求使用 X.509 证书对客户端进行身份验证。
•IssuedToken 根据安全策略配置的自定义令牌类型。默认令牌类型为安全断言标记语言 (SAML)。令牌由安全令牌服务颁发。有关更多信息，请参见联合令牌与颁发的令牌.

我们可以通过编码或者配置文件的方式来指定 Binding 的安全方式。

下面配置结果是相同的，在级别使用证书的方式认证

NetTcpBinding binding = new NetTcpBinding();
binding.Security.Mode = SecurityMode.Message;
binding.Security.Message.ClientCredentialType= MessageCredentialType.Certificate

app.config

3，设置服务凭据值
   一旦选择了客户端凭据类型，就必须设置可供服务和客户端使用的实际凭据，用来暗示了服务凭据类型、选择的安全模式和客户端凭据类型用来向服务器进行安全模式的身份证明，此属性解决的问题是使用那些数据进行认证。
   如果“选择客户端凭据类型”为“Certificate” 那必须在这里关联一个证书，并指定证书的验证方式。
   设置凭据值包含设置服务凭据值和设置客户端凭据值

综合上述几段代码，在消息级别进行加密，使用X.509 证书进行验证，证书信息为findValue="CN=ejiyuan" storeLocation="LocalMachine" storeName="My"

参考：常用安全方案 http://msdn.microsoft.com/zh-cn/library/ms730301(v=VS.100).aspx

本文链接

Microsoft Visual Studio 2010 简体中文旗舰版下载安装报告

2010-05-29T00:48:00Z

听说MSDN放出了Microsoft Visual Studio 2010 简体中文旗舰版，怀着激动的心情下载安装。下面是下载地址

如果有MSDN订阅账号的话可以去
https://msdn.microsoft.com/zh-cn/subscriptions/securedownloads/default.aspx

如果没有可以使用下面的地址下载，这里感谢前人的分享

ed2k://|file|cn_visual_studio_2010_ultimate_x86_dvd_532347.iso|2685982720|4AE6228933DDE49D9BFA4C3467C831C2|/

MSDN相关信息

文件名 cn_visual_studio_2010_ultimate_x86_dvd_532347.iso
发布日期 (UTC): 5/26/2010 3:05:45 PM	上次更新日期 (UTC): 5/26/2010 3:05:45 PM
SHA1: 44B73423A7BBCE38D06BA55ECD821946630BEA4D	ISO/CRC: 6CC0C796
Available to Levels: Developer AA; BizSpark Admin; BizSpark; VS Ultimate with MSDN (VL); VS Ultimate with MSDN (Retail);
说明和资源
For more information about this release, please visit the Visual Studio Readme.

两个地址版本是一模一样的有图为证ed2k下载地址与官方哈希码对比

迅雷下载界面

安装界面

整个安装进度持续了35分钟

环境选择

换了图标

这个版本的VS好像更重视“团队”和测试了

项目模板

版本信息

微软这次干脆就不用，脱了裤子放屁的事了，在以前的版本中，放出版本后，在“泄露”出序列号，这次干脆就直接放出版本，不需要序列号了。这彻底免费了，哈哈

本文链接

面向对象的设计原则与目标[总结篇]

2010-05-28T03:55:00Z

一、面向对象技术基本概念
面向对象技术基于对象概念，以对象为中心，以类和继承为构造机制，充分利用接口和多态提供灵活性，来认识、理解、刻划客观世界和设计、构建相应的软件系统.

面向对象的特征

– 抽象，先不考虑细节
– 封装，隐藏内部实现
– 继承，复用现有代码
– 多态，改写对象行为

二、面向对象的设计目标
1、可扩展性Extensibility
–容易添加新的功能
2、灵活性Flexibility
–容易添加新的功能代码修改平稳地发生
3、可插入性Pluggability
–容易将一个类抽出去，同时将另一个有同样接口的类加入进来

三、面向对象设计基本的设计原则:
1、针对接口编程，而不是针对实现编程
– 客户无需知道所使用对象的特定类型，只需要知道对象拥有客户所期望的接口。
2、优先使用对象组合，而不是类继承
– 继承在某种程度上破坏了封装性，子类父类耦合度高；而对象组合则只要求被组合的对象具有良好定义的接口，耦合度低。
3、封装变化点
– 使用封装来创建对象之间的分界层，让设计者可以在分界层的一侧进行修改，而不会对另一侧产生不良的影响，从而实现层次间的松耦合。

四、面向对象的设计原则：

1、“开-闭”原则（Open-Closed Principle,OCP）封装的问题 - 对可变性封装
一个软件实体应当对扩展开放，对修改关闭。你添加新功能的时候应该只是向代码集中添加新的代码不应该修改原来的代码。

2、里氏代换原则（Liskov Substitution Principle, LSP）职责的问题 - 如何进行继承
LSP原则要求子类可以无条件的替代父类，子类不能对父类没有暴露的接口进行扩展，客户要调用功能只能通过父类暴露的接口来调用用不能擅自向子类调用。

3、依赖倒转原则（dependence inversion principle, DIP）耦合度问题 - 针对接口编程
依赖倒转原则就是要实现依赖于抽象，抽象不要依赖于实现。要针对接口编程，不要针对实现编程。

4、合成/聚合复用原则（Composite/Aggregate Reuse Principle或CARP）复用问题 - 尽量使用组合/聚合、尽量不使用继承
在一个新的对象里面使用一些已有的对象，使之成为新对象的一部分；新的对象通过向这些对象的委派达到复用这些对象的目的。

5、迪米特法则（Law of Demeter，LoD）耦合度问题 - 不要和陌生人说话。一个软件实体应当尽可能少的与其他实体发生相互作用。
一个软件实体应当尽可能少的与其他实体发生相互作用。迪米特法则的初衷在于降低类之间的耦合。由于每个类尽量减少对其他类的依赖，因此，很容易使得系统的功能模块功能独立，相互之间不存在（或很少有）依赖关系。

6、接口隔离原则（interface separate principle, ISP）职责单一 - 恰当的划分角色和接口
使用多个专门的接口比使用单一的总接口要好。也就是说，一个类对另外一个类的依赖性应当是建立在最小的接口上。

五、目标与原则的关系

1、可扩展性Extensibility :允许一个具有同样接口的新类替代旧类，是对抽象接口的复用。客户端依赖于抽象接口，而不是一个具体实现类，使得这个具体类可以被别的具体类替换，而不影响客户端
开/闭原则、里氏替换原则、依赖倒转原则、合成/聚合复用原则

2、灵活性Flexibility:模块相对独立，通信尽可能少。这样当一个模块修改时，对别的模块的影响很小。
开/闭原则、Demeter 法则、接口隔离原

3、可插入性Pluggability：当一部分不再满足需要时，可以将旧的部分拔出，新的部分插入。
开/闭原则、里氏代换原则、依赖倒转原则、合成/聚合复用原则

本文链接