情景
我有两个应用程序在同一内部网络中的不同服务器上运行。
服务器1包含一个WebAPI MVC项目。
服务器2包含一个MVC Web应用程序,它在服务器1上调用API。
两个应用程序都使用Windows身份验证。
当我在本地运行代码时,代码运行正常,无论是通过IIS还是通过Visual Studio运行。
在服务器上运行时,我收到以下错误:
远程服务器返回错误:(401)未经授权。
以下是Fiddler的请求。
GET http://server1/..../..../GetTest HTTP/1.1
Host: server 1
Connection: keep-alive
Cache-Control: max-age=0
Authorization: Negotiate YIIHIgYGKwYBBQUCoIIHFjCCBxK.....
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/52.0.2743.116 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Encoding: gzip, deflate, sdch
Accept-Language: en-GB,en-US;q=0.8,en;q=0.6
Cookie: ASP.NET_SessionId=gffyzdgub41op0diygy5lyv2
以下是API请求代码
public string GetTest()
{
string sURL = "http://server2/.../api/test?value=JERONIMO";
WebRequest wrGETURL = WebRequest.Create(sURL);
wrGETURL.Credentials = CredentialCache.DefaultCredentials;
var result = "";
using (Stream objStream = wrGETURL.GetResponse().GetResponseStream()) {
using(StreamReader objReader = new StreamReader(objStream)) {
string sLine = "";
int i = 0;
while (sLine != null) {
i++;
sLine = objReader.ReadLine();
if (sLine != null) result += sLine;
}
}
}
return result;
}
感谢您的帮助。
答案 0 :(得分:0)
使用名为 double hop 的Windows身份验证时,这是一个众所周知的问题。
这个问题的2个解决方案:
将Server2上的Application pool identity从ApplicationPoolIdentity更改为服务帐户,我们可以拨打Server1。此解决方案不会在用户调用api Server2时传播上下文(您仍然可以通过向Server1方法发送参数化信息来调用以过滤数据)。
实施constrained delegation以允许Server2将用户身份转发给Server1;除非你对此有强烈的安全要求,否则我会采取第一种方法。