使用表单身份验证进行模拟

时间:2009-06-30 21:52:30

标签: asp.net active-directory forms-authentication impersonation windows-authentication

我有一个ASP.NET站点,必须使用表单身份验证而不是Windows身份验证才能访问ActiveDirectoryMembershipProvider。该网站必须使用表单,因为它们需要设计的输入表单,而不是Windows身份验证使用的浏览器身份验证弹出窗口。

网站需要模拟通过Active Directory登录的用户访问用户特定文件。

但是,WindowsIdentity.GetCurrent()HttpContext.Current.User.Identity不同,尽管我的web.config包含:

<authentication mode="Forms">
    <forms loginUrl="login.aspx" timeout="480"/>
</authentication>
<identity impersonate="true" />

我无法使用LoginUser()WindowsIdentity.Impersonate()因为我需要冒充AD用户来获取他们的特定权限,而我不知道用户的密码,因为Forms会负责登录。

是否可以从login.aspx.cs获取System.Web.UI.WebControls.Login.Password,然后将LoginUser()令牌保存在WindowsIdentity.Impersonate()的会话变量中?或者是一种更加安全的冒充正确方法的方法?

我很困惑为什么表单身份验证无法自动<identity impersonate="true" />

我已阅读此http://msdn.microsoft.com/en-us/library/ms998351.aspx但它使用Windows身份验证。

6 个答案:

答案 0 :(得分:20)

可以使用表单身份验证模拟用户。以下代码可以使用

罗伯特提到的Visual Studio Magazine article是一个很好的资源。本文中的示例代码存在一些问题,因此我在下面列出了一些工作代码。

注意:如果您使用的是Visual Studio,请确保以“以管理员身份运行”启动它,以避免UAC阻止模拟的问题。

// in your login page (hook up to OnAuthenticate event)
protected void LoginControl_Authenticate(object sender, AuthenticateEventArgs e)
{
    int token;
    // replace "YOURDOMAIN" with your actual domain name
    e.Authenticated = LogonUser(LoginUser.UserName,"YOURDOMAIN",LoginUser.Password,8,0,out token);
    if (e.Authenticated) {
        Session.Add("principal", new WindowsPrincipal(new WindowsIdentity(new IntPtr(token))));
    }
}

[DllImport("advapi32.dll", SetLastError = true)]
public static extern bool LogonUser(string lpszUsername, string lpszDomain, string lpszPassword,
    int dwLogonType, int dwLogonProvider, out int TokenHandle);


// in global.asax.cs
void Application_PreRequestHandlerExecute(object send, EventArgs e)
{
    if (Thread.CurrentPrincipal.Identity.IsAuthenticated == true && HttpContext.Current.Session != null) {
        WindowsPrincipal windowsPrincipal = (WindowsPrincipal)Session["principal"];
        Session["principal"] = (GenericPrincipal)Thread.CurrentPrincipal;
        Thread.CurrentPrincipal = windowsPrincipal;
        HttpContext.Current.User = windowsPrincipal;
        HttpContext.Current.Items["identity"] = ((WindowsIdentity)windowsPrincipal.Identity).Impersonate();
    }
}

// in global.asax.cs
void Application_PostRequestHandlerExecute(object send, EventArgs e)
{
    if (HttpContext.Current.Session != null && Session["principal"] as GenericPrincipal != null) {
        GenericPrincipal genericPrincipal = (GenericPrincipal)Session["principal"];
        Session["principal"] = (WindowsPrincipal)Thread.CurrentPrincipal;
        Thread.CurrentPrincipal = genericPrincipal;
        HttpContext.Current.User = genericPrincipal;
        ((WindowsImpersonationContext)HttpContext.Current.Items["identity"]).Undo();
    }
}

// test that impersonation is working (add this and an Asp:Label to a test page)
protected void Page_Load(object sender, EventArgs e)
{
    try {
        // replace YOURSERVER and YOURDB with your actual server and database names
        string connstring = "data source=YOURSERVER;initial catalog=YOURDB;integrated security=True";
        using (SqlConnection conn = new SqlConnection(connstring)) {
            conn.Open();
            SqlCommand cmd = new SqlCommand("SELECT SUSER_NAME()", conn);
            using (SqlDataReader rdr = cmd.ExecuteReader()) {
                rdr.Read();
                Label1.Text = "SUSER_NAME() = " + rdr.GetString(0);
            }
        }
    }
    catch {
    }
}

更新

您还应处理Application_EndRequest,因为Response.End()等来电会绕过Application_PostRequestHandlerExecute

另一个问题是WindowsIdentity可能会收集垃圾,因此您应该在每次请求时从登录令牌创建新的WindowsIdentity和WindowsPrincipal。

UPDATE2:

我不确定为什么这会被贬低,因为它有效。我添加了pinvoke签名和一些测试代码。再次,使用“以管理员身份运行”启动Visual Studio。谷歌如果你不知道如何做到这一点。

答案 1 :(得分:0)

如果您的用户使用的是IE,那么您可以打开网站的集成安全性,您的用户将以静默方式进行身份验证(无登录对话框,无登录页面)。然后你的模仿就会起作用。如果您需要定位其他浏览器,那么这可能不起作用(用户可能会看到一个登录对话框)。

您当前的模拟将永远不会起作用,因为您的用户使用其域帐户以外的帐户登录。您不能指望该网站冒充未提供其凭据的用户。这将违反基本的安全原则。

答案 2 :(得分:0)

您可能会觉得这很有用:

修改

在更仔细地阅读您的问题时,我不确定这种方法是否适用于您的方案;使用表单身份验证和模拟Active Directory用户登录时

答案 3 :(得分:0)

我们最近遇到了同样的问题,客户希望他们的用户可以通过AD帐户登录,然后必须使用此凭据来访问Analysis Service以及所有其他数据库。他们希望这样,因为他们实施了审计系统,所有访问必须由当前登录帐户完成。

我们尝试使用Forms身份验证和Win32 LogonUser()API来模拟部分,它可以工作,但它也要求我们将用户的密码作为纯文本。后来,我们决定使用Windows身份验证,它节省了我们很多时间(不再需要AD身份验证,手动模拟)。当然,也没有花哨的登录页面。

答案 4 :(得分:-1)

为了以防万一,有点迟了,我发现了一些对我有用的东西,它非常简单但当然只是出于测试目的......

只需使用您的用户名设置Cookie。

//Login button. You can give whatever input to the form
protected void Login_Click(object sender, EventArgs e)
{
    FormsAuthentication.SetAuthCookie("your_username", createPersistentCookie: true);
    Response.Redirect("~/");
}

接受任何评论......

答案 5 :(得分:-6)

在Visual Studio中安装NuGet 打开您的解决方案

然后在包控制台中运行Install-Package 51Degrees.mobi

然后将51Degrees添加到您的网站。然后,您可以编辑应用程序数据中的51Degrees.mobi.config以删除重定向部分。

您现在将拥有最新的浏览器功能