IIS 匿名身份验证
|
Web.config 设置 |
变量位置 |
结果标识 |
|
<identity impersonate="true"/>
|
HttpContext
|
-
|
|
<identity impersonate="false"/>
|
HttpContext
|
-
|
|
<identity impersonate="true" />
|
HttpContext
|
用户提供的名称
|
|
<identity impersonate="false"/>
|
HttpContext
|
用户提供的名称
|
IIS 基本身份验证
|
Web.config 设置 |
变量位置 |
结果标识 |
|
<identity impersonate="true"/>
|
HttpContext
|
域\用户名
|
|
<identity impersonate="false"/>
|
HttpContext
|
域\用户名
|
|
<identity impersonate="true"/>
|
HttpContext
|
用户提供的名称
|
|
<identity impersonate="false"/>
|
HttpContext
|
用户提供的名称
|
IIS 摘要式身份验证
|
Web.config 设置 |
变量位置 |
结果标识 |
|
<identity impersonate="true"/>
|
HttpContext
|
域\用户名
|
|
<identity impersonate="false"/>
|
HttpContext
|
域\用户名
|
|
<identity impersonate="true"/>
|
HttpContext
|
用户提供的名称
|
|
<identity impersonate="false"/>
|
HttpContext
|
用户提供的名称
|
IIS 集成 Windows
|
Web.config 设置 |
变量位置 |
结果标识 |
|
<identity impersonate="true"/>
|
HttpContext
|
域\用户名
|
|
<identity impersonate="false"/>
|
HttpContext
|
域\用户名
|
|
<identity impersonate="true"/>
|
HttpContext
|
用户提供的名称
|
|
<identity impersonate="false"/>
|
HttpContext
|
用户提供的名称
|
| • |
HttpContext = HttpContext.Current.User,它返回包含当前 Web 请求的安全信息的 IPrincipal 对象。这是经身份验证的 Web 客户端。 |
| • |
WindowsIdentity = WindowsIdentity.GetCurrent(),它返回当前执行的 Win32 线程的安全性上下文的标识。 |
| • |
Thread = Thread.CurrentPrincipal,它返回当前执行的 .NET 线程(在 Win32 线程之上)的主体。 |
元素,可以使其impersonate属性为true来设置本应用程序的身份,从而达到扮演其他账号身份的目的。而具体的“扮演”有两种方式:
(1)、<identity impersonate="true" />
这种方式的话ASP.NET进程将扮演http/https请求者的身份。而具体是什么帐号,就跟IIS的安全性设定有关了:
如果IIS允许匿名访问,那么被扮演的将是Iuser_Machine帐号(因为默认的匿名访问账号是Iuser_Machine,当然如果修改过,那被扮演的就是修改过的帐号)。
如果IIS不允许匿名访问,那么浏览器请求者的身份肯定是一个Windows帐号,这个帐号就是被扮演的对象。
(2)、<identity impersonate="true" userName="Account" password="Password"/>
这种方式就直接设置所扮演的固定用户身份
第(2)种扮演方法将把password明文的写在Web.Config里,很不安全
PS1:微软不推荐使用扮演,无论扮演哪个帐号,一方面是安全性问题(被扮演的帐号可能有一些程序并不需要的多余权限,可能被利用),另一方面是可伸缩性问题(Scalability),因为在访问SQL Server等资源时,无法利用连接池等手段。
PS2:在\%windows%\Microsoft.NET\Framework\Version\Config目录中找到machine.config文件,其中有一个<processModel>的tag:
<processModel enable="true" ... userName="machine" password="AutoGenerate" ... />
其中的userName="machine"就是指定使用本机ASPNET帐号(.\ASPNET)作为ASP.NET工作进程的默认账号。
这个默认帐号是可以修改的,如果开发人员将userName修改为一个域用户帐号:
<system.web>
<processModel enable="true" userName="domain\user" password="password"/>
</system.web>
那么ASP.NET工作进程的身份就变成了domain\user。只要这个域用户帐号拥有需要的权限,那么machine.config所在机器上所有ASP.NET程序都可以访问域中其他服务器的资源,包括存取用网络共享路径指定的文件。
如果指定userName="system",那么ASP.NET程序将以LocalSystem身份运行,可以存取几乎所有本地资源,因此非常危险!
无论machine.config指定哪个默认帐号,这个默认帐号都可以被应用程序的web.config设置的Impersonation覆盖,即特定应用程序可以以其他身份运行。
impersonationContext = ((System.Security.Principal.WindowsIdentity)User.Identity).Impersonate();
//Insert your code that runs under the security context of the authenticating user here.
impersonationContext.Undo();
