使用表单身份验证进行模拟

Question

我有一个ASP.NET站点，必须使用表单身份验证而不是Windows身份验证才能访问ActiveDirectoryMembershipProvider。该网站必须使用表单，因为它们需要设计的输入表单，而不是Windows身份验证使用的浏览器身份验证弹出窗口。

网站需要模拟通过Active Directory登录的用户访问用户特定文件。

但是，WindowsIdentity.GetCurrent()与HttpContext.Current.User.Identity不同，尽管我的web.config包含：

<authentication mode="Forms">
    <forms loginUrl="login.aspx" timeout="480"/>
</authentication>
<identity impersonate="true" />

我无法使用LoginUser()和WindowsIdentity.Impersonate()因为我需要冒充AD用户来获取他们的特定权限，而我不知道用户的密码，因为Forms会负责登录。

是否可以从login.aspx.cs获取System.Web.UI.WebControls.Login.Password，然后将LoginUser()令牌保存在WindowsIdentity.Impersonate()的会话变量中？或者是一种更加安全的冒充正确方法的方法？

我很困惑为什么表单身份验证无法自动<identity impersonate="true" />

我已阅读此http://msdn.microsoft.com/en-us/library/ms998351.aspx但它使用Windows身份验证。

Answer 1

可以使用表单身份验证模拟用户。以下代码可以使用。

罗伯特提到的Visual Studio Magazine article是一个很好的资源。本文中的示例代码存在一些问题，因此我在下面列出了一些工作代码。

注意：如果您使用的是Visual Studio，请确保以“以管理员身份运行”启动它，以避免UAC阻止模拟的问题。

// in your login page (hook up to OnAuthenticate event)
protected void LoginControl_Authenticate(object sender, AuthenticateEventArgs e)
{
    int token;
    // replace "YOURDOMAIN" with your actual domain name
    e.Authenticated = LogonUser(LoginUser.UserName,"YOURDOMAIN",LoginUser.Password,8,0,out token);
    if (e.Authenticated) {
        Session.Add("principal", new WindowsPrincipal(new WindowsIdentity(new IntPtr(token))));
    }
}

[DllImport("advapi32.dll", SetLastError = true)]
public static extern bool LogonUser(string lpszUsername, string lpszDomain, string lpszPassword,
    int dwLogonType, int dwLogonProvider, out int TokenHandle);


// in global.asax.cs
void Application_PreRequestHandlerExecute(object send, EventArgs e)
{
    if (Thread.CurrentPrincipal.Identity.IsAuthenticated == true && HttpContext.Current.Session != null) {
        WindowsPrincipal windowsPrincipal = (WindowsPrincipal)Session["principal"];
        Session["principal"] = (GenericPrincipal)Thread.CurrentPrincipal;
        Thread.CurrentPrincipal = windowsPrincipal;
        HttpContext.Current.User = windowsPrincipal;
        HttpContext.Current.Items["identity"] = ((WindowsIdentity)windowsPrincipal.Identity).Impersonate();
    }
}

// in global.asax.cs
void Application_PostRequestHandlerExecute(object send, EventArgs e)
{
    if (HttpContext.Current.Session != null && Session["principal"] as GenericPrincipal != null) {
        GenericPrincipal genericPrincipal = (GenericPrincipal)Session["principal"];
        Session["principal"] = (WindowsPrincipal)Thread.CurrentPrincipal;
        Thread.CurrentPrincipal = genericPrincipal;
        HttpContext.Current.User = genericPrincipal;
        ((WindowsImpersonationContext)HttpContext.Current.Items["identity"]).Undo();
    }
}

// test that impersonation is working (add this and an Asp:Label to a test page)
protected void Page_Load(object sender, EventArgs e)
{
    try {
        // replace YOURSERVER and YOURDB with your actual server and database names
        string connstring = "data source=YOURSERVER;initial catalog=YOURDB;integrated security=True";
        using (SqlConnection conn = new SqlConnection(connstring)) {
            conn.Open();
            SqlCommand cmd = new SqlCommand("SELECT SUSER_NAME()", conn);
            using (SqlDataReader rdr = cmd.ExecuteReader()) {
                rdr.Read();
                Label1.Text = "SUSER_NAME() = " + rdr.GetString(0);
            }
        }
    }
    catch {
    }
}

更新

您还应处理Application_EndRequest，因为Response.End()等来电会绕过Application_PostRequestHandlerExecute。

另一个问题是WindowsIdentity可能会收集垃圾，因此您应该在每次请求时从登录令牌创建新的WindowsIdentity和WindowsPrincipal。

UPDATE2：

我不确定为什么这会被贬低，因为它有效。我添加了pinvoke签名和一些测试代码。再次，使用“以管理员身份运行”启动Visual Studio。谷歌如果你不知道如何做到这一点。

Answer 2

如果您的用户使用的是IE，那么您可以打开网站的集成安全性，您的用户将以静默方式进行身份验证（无登录对话框，无登录页面）。然后你的模仿就会起作用。如果您需要定位其他浏览器，那么这可能不起作用（用户可能会看到一个登录对话框）。

您当前的模拟将永远不会起作用，因为您的用户使用其域帐户以外的帐户登录。您不能指望该网站冒充未提供其凭据的用户。这将违反基本的安全原则。

Answer 3

您可能会觉得这很有用：

• how to create a login screen that allows Admin users to log in as another user in the user database

修改

在更仔细地阅读您的问题时，我不确定这种方法是否适用于您的方案;使用表单身份验证和模拟Active Directory用户登录时

Answer 4

我们最近遇到了同样的问题，客户希望他们的用户可以通过AD帐户登录，然后必须使用此凭据来访问Analysis Service以及所有其他数据库。他们希望这样，因为他们实施了审计系统，所有访问必须由当前登录帐户完成。

我们尝试使用Forms身份验证和Win32 LogonUser（）API来模拟部分，它可以工作，但它也要求我们将用户的密码作为纯文本。后来，我们决定使用Windows身份验证，它节省了我们很多时间（不再需要AD身份验证，手动模拟）。当然，也没有花哨的登录页面。

Answer 5

为了以防万一，有点迟了，我发现了一些对我有用的东西，它非常简单但当然只是出于测试目的......

只需使用您的用户名设置Cookie。

//Login button. You can give whatever input to the form
protected void Login_Click(object sender, EventArgs e)
{
    FormsAuthentication.SetAuthCookie("your_username", createPersistentCookie: true);
    Response.Redirect("~/");
}

接受任何评论......

Answer 6

在Visual Studio中安装NuGet 打开您的解决方案

然后在包控制台中运行Install-Package 51Degrees.mobi

然后将51Degrees添加到您的网站。然后，您可以编辑应用程序数据中的51Degrees.mobi.config以删除重定向部分。

您现在将拥有最新的浏览器功能