我正在使用WebAPI并使用Katana托管它。我现在正在编写一些用于身份验证和授权的中间件。我必须使用SSL进行基本身份验证,因为请求可能来自各种平台。 OAuth目前也不是一种选择。中间件需要获取基本身份验证提供的用户名和密码,并验证用户是否是本地Windows组中的成员。
现在我正试图找出如何创建WindowsPrincipal。如果我能想出如何从用户名和密码创建WindowsPrincipal,我知道如何完成剩下的工作。这就是我现在所拥有的。
//TODO
WindowsPrincipal userPrincipal = null; //This is where I need to take the username and password and create a WindowsPrincipal
Thread.CurrentPrincipal = userPrincipal;
AppDomain.CurrentDomain.SetPrincipalPolicy(System.Security.Principal.PrincipalPolicy.WindowsPrincipal);
PrincipalPermission permission = new PrincipalPermission(null, "Local Group Name");
permission.Demand();
我正在努力寻找一种使用用户名和密码来验证该成员是否属于特定组的好方法。做这个的最好方式是什么?感谢您的帮助。
答案 0 :(得分:4)
实际上我认为您应该使用WindowsIdentity而不是WindowsPrincipal来获取该信息。
要获取/模仿用户,您必须从advapi32.dll调用LogonUser():
[DllImport("advapi32.dll", SetLastError = true)]
public static extern bool LogonUser(
string lpszUsername,
string lpszDomain,
string lpszPassword,
int dwLogonType,
int dwLogonProvider,
out IntPtr phToken);
考虑到上述内容属于" Native",冒充用户如下:
var userToken = IntPtr.Zero;
var success = Native.LogonUser(
"username",
"domain",
"password",
2, // LOGON32_LOGON_INTERACTIVE
0, // LOGON32_PROVIDER_DEFAULT
out userToken);
if (!success)
{
throw new SecurityException("User logon failed");
}
var identity = new WindowsIdentity(userToken);
if(identity.Groups.Any(x => x.Value == "Group ID"))
{
// seems to be in the group!
}
您可以在此处找到有关原生呼叫的其他信息:http://msdn.microsoft.com/en-us/library/windows/desktop/aa378184%28v=vs.85%29.aspx