WebSeal反向代理背后的.Net Web应用程序

时间:2010-09-21 08:55:25

标签: asp.net .net-3.5 .net-4.0 reverse-proxy webseal

我们目前正在设计一个在WebSeal反向代理后面作为.Net Web应用程序运行的解决方案。

我在网上看到了一些评论,其中人们遇到了各种各样的问题,例如重写了viewstate。

问题是:有没有人实施过这种技术组合并让它发挥作用?

2 个答案:

答案 0 :(得分:8)

我在WEBSEAL背后制作了一个ASP.NET应用程序。经过大量的研究和开发以及测试,它确实有效。

我建议一些问题来帮助你:

IIS和ASP.NET不区分大小写

(“... Login.aspx”和“... login.aspx”都导致同一页面);默认情况下,webseal区分大小写。所以你应该设置WEBSEAL结点不区分大小写 或检查任何单个链接(页面,javascript,图像)

将不提供写为服务器相对URL 的内部链接

WEBSEAL会更改引用您的应用程序的任何链接,但不会更改指向其他应用程序的链接。  内部链接(写为服务器相对URL 而不是应用程序相对URL )将不会更改(WEBSEAL不会识别它是相同的应用程序)并且不会被提供( WEBSEAL拒绝未修改的链接 第一条规则是检查任何单个链接并使其成为应用程序相对URL 如果找到<.. href=/ anything>,请查看呈现的HTML:这是一个服务器相对URL,它很糟糕 如果您使用"= ~/ anything",请查看Code Behind,这很好。如果您使用"= / anything"ResolveUrl(..)则不好。

但这还不够:AJAX将大量的javascript和代码放在 ScriptResource.axd WebResource.axd 中,并创建服务器相对URL来链接它。这些链接不受程序员的控制,也没有简单的方法来改变它们 简单的解决方案(如果可能):解决问题将WEBSEAL联结设置为透明
硬解决方案:编写以下代码(感谢this answer

protected void Page_Load(object sender, EventArgs e)
    {
        //Initialises my dirty hack to remove the leading slash from all web reference files.
        Response.Filter = new WebResourceResponseFilter(Response.Filter);
    }

public class WebResourceResponseFilter : Stream
{
    private Stream baseStream;

    public WebResourceResponseFilter(Stream responseStream)
    {
        if (responseStream == null)
            throw new ArgumentNullException("ResponseStream");
        baseStream = responseStream;
    }

    public override bool CanRead
    { get { return baseStream.CanRead; } }

    public override bool CanSeek
    { get { return baseStream.CanSeek; } }

    public override bool CanWrite
    { get { return baseStream.CanWrite; } }

    public override void Flush()
    { baseStream.Flush(); }

    public override long Length
    { get { return baseStream.Length; } }

    public override long Position
    {
        get { return baseStream.Position; }
        set { baseStream.Position = value; }
    }

    public override int Read(byte[] buffer, int offset, int count)
    { return baseStream.Read(buffer, offset, count); }

    public override long Seek(long offset, System.IO.SeekOrigin origin)
    { return baseStream.Seek(offset, origin); }

    public override void SetLength(long value)
    { baseStream.SetLength(value); }

    public override void Write(byte[] buffer, int offset, int count)
    {
        //Get text from response stream.
        string originalText = System.Text.Encoding.UTF8.GetString(buffer, offset, count);

        //Alter the text.
        originalText = originalText.Replace(HttpContext.Current.Request.ApplicationPath + "/WebResource.axd",
            VirtualPathUtility.MakeRelative(HttpContext.Current.Request.Url.AbsolutePath, "~/WebResource.axd"));
        originalText = originalText.Replace(HttpContext.Current.Request.ApplicationPath + "/ScriptResource.axd",
            VirtualPathUtility.MakeRelative(HttpContext.Current.Request.Url.AbsolutePath, "~/ScriptResource.axd"));

        //Write the altered text to the response stream.
        buffer = System.Text.Encoding.UTF8.GetBytes(originalText);
        this.baseStream.Write(buffer, 0, buffer.Length);

    }

拦截流到页面并将所有出现的“/WebResource.axd”或“ScriptResource.axd”替换为“../../WebResource.axd”和“../../ScriptResource.axd” “

开发代码以获取实际的WEBSEAL用户

WEBSEAL已配置为将用户名放在 HTTP_IV_USER 中。我创建了 Webseal \ Login.aspx 表单以编程方式读取它。 现在,为了使这个用户成为CurrentUser我放了一个隐藏的 asp.Login 

<span style="visibility:hidden"> 
<asp:Login ID="Login1" runat="server" DestinationPageUrl="~/Default.aspx">..

并以编程方式单击按钮

protected void Page_Load(object sender, EventArgs e)
{
    string username = Request.ServerVariables["HTTP_IV_USER"];
    (Login1.FindControl("Password") as TextBox).Text = MyCustomProvider.PswJump;
    if (!string.IsNullOrEmpty(username))
    {
        (Login1.FindControl("UserName") as TextBox).Text = username;
        Button btn = Login1.FindControl("LoginButton") as Button;
        ((IPostBackEventHandler)btn).RaisePostBackEvent(null);
     }
    else
    {
        lblError.Text = "Login error.";
    }
}

LoginButton 触发时,应用程序将读取UserName(从WEBSEAL变量设置)和密码(硬编码)。所以我implemented a custom membership provider验证用户并设置当前的Principal。

web.config中的更改

loginUrl是FormsAuthentication类将重定向到的登录页面的URL。它已设置为WEBSEAL门户:未经过身份验证的用户和注销按钮将重定向到门户网站。

<authentication mode="Forms">
  <forms loginUrl="https://my.webseal.portal/" defaultUrl="default.aspx"...."/>
</authentication>

由于 Webseal / login.aspx 不是默认登录页面,authorization标记授予对未经过身份验证的用户的访问权限:

<location path="Webseal/login.aspx">
    <system.web>
        <authorization>
            <allow users="*"/>
        </authorization>
    </system.web>
</location>

应用程序设置为使用自定义成员资格提供程序:

 <membership defaultProvider="MyCustomMembershipProvider">
  <providers>
    <add name="MyCustomMembershipProvider" type="MyNamespace.MyCustomMembershipProvider" connectionStringName="LocalSqlServer"/>
  </providers>
</membership>
<roleManager enabled="true" defaultProvider="MyCustomRoleProvider">
  <providers>
    <add name="MyCustomRoleProvider" type="MyNamespace.MyCustomRoleProvider" connectionStringName="LocalSqlServer"/>
  </providers>
</roleManager>

Debug设置为off:

<compilation debug="false" targetFramework="4.0">

这就是所有人!

答案 1 :(得分:2)

通过WebSeal访问时,我最初对ASP.Net应用程序有一些问题。我在开发服务器上运行该站点。对我有用的是在配置文件中关闭调试部署应用程序。

<compilation debug="false" ...>

打开调试后,有一些AJAX调用在我直接访问网站时可以正常工作,但在通过WebSeal访问时会失败。一旦我关闭调试,一切正常。

此外,由于WebSeal需要匿名身份验证,因此我们无法使用Windows身份验证。

相关问题
最新问题