在ASP.NET应用程序中使用身份模拟(Impersonation)

最新推荐文章于 2024-04-23 21:06:46 发布
最新推荐文章于 2024-04-23 21:06:46 发布
阅读量2.3k 收藏
点赞数
分类专栏: Dot Net技术 文章标签: asp.net integer string import iis domain
 
摘要
 
缺省情况下,ASP.NET应用程序以本机的ASPNET帐号运行,该帐号属于普通用户组,权限受到一定的限制,以保障ASP.NET应用程序运行的安全。但是有时需要某个ASP.NET应用程序或者程序中的某段代码执行需要特定权限的操作,比如某个文件的存取,这时就需要给该程序或相应的某段代码赋予某个帐号的权限以执行该操作,这种方法称之为身份模拟(Impersonation)。本文介绍了在ASP.NET应用程序中使用身份模拟的几种方法,并比较了它们各自适用的范围。
在阅读本文之前,建议您先阅读文章:《ASP .NET 中的身份验证:.NET 安全性指导》 以便对ASP.NET的安全控制有一个总体的了解。
目录
 
  • ASP.NET中的身份模拟
  • 模拟IIS认证帐号
  • 在某个ASP.NET应用程序中模拟指定的用户帐号
  • 在代码中模拟IIS认证帐号
  • 在代码中模拟指定的用户帐号
  • 更多信息
ASP.NET中的身份模拟
 
ASP.NET 通过使用身份验证提供程序来实现身份验证,一般情况下,ASP.NET的身份验证提供程序包括表单身份验证、Windows身份验证和Passport身份验证3种。当通过身份验证后,ASP.NET会检查是否启用身份模拟。如果启用,ASP .NET 应用程序使用客户端标识以客户端的身份有选择地执行。否则,ASP.NET应用程序使用本机身份标识运行(一般使用本机的ASPNET帐号),具体流程如下图所示:

 
在ASP.NET应用程序中使用身份模拟一般用于资源访问控制,主要有如下几种方法:
  • 模拟IIS认证帐号
  • 在某个ASP.NET应用程序中模拟指定的用户帐号
  • 在代码中模拟IIS认证帐号
  • 在代码中模拟指定的用户帐号
模拟IIS认证帐号
 
这是最简单的一种方法,使用经过IIS认证的帐号执行应用程序。您需要在Web.config文件中添加<identity>标记,并将impersonate属性设置为true: 
<identity impersonate="true" />
在这种情况下,用户身份的认证交给IIS来进行。当允许匿名登录时,IIS将一个匿名登录使用的标识(缺省情况下是IUSR_MACHINENAME)交给ASP.NET应用程序。当不允许匿名登录时,IIS将认证过的身份标识传递给ASP.NET应用程序。ASP.NET的具体访问权限由该账号的权限决定。
模拟指定的用户帐号
 
当ASP.NET应用程序需要以某个特定的用户帐号执行,可以在Web.config文件的<identity>标记中指定具体的用户帐号: 
<identity impersonate="true" userName="accountname" password="password" />
这时该ASP.NET应用程序的所有页面的所有请求都将以指定的用户帐号权限执行。
在代码中模拟IIS认证帐号
 
在代码中使用身份模拟更加灵活,可以在指定的代码段中使用身份模拟,在该代码段之外恢复使用ASPNET本机帐号。该方法要求必须使用Windows的认证身份标识。下面的例子在代码中模拟IIS认证帐号:
Visual Basic .NET 
Dim impersonationContext As System.Security.Principal.WindowsImpersonationContext
Dim currentWindowsIdentity As System.Security.Principal.WindowsIdentity
currentWindowsIdentity = CType(User.Identity, System.Security.Principal.WindowsIdentity)
impersonationContext = currentWindowsIdentity.Impersonate()
'Insert your code that runs under the security context of the authenticating user here.
impersonationContext.Undo()
Visual C# .NET 
System.Security.Principal.WindowsImpersonationContext impersonationContext;
impersonationContext = ((System.Security.Principal.WindowsIdentity)User.Identity).Impersonate();
//Insert your code that runs under the security context of the authenticating user here.
impersonationContext.Undo();
在代码中模拟指定的用户帐号
 
下面的例子在代码中模拟指定的用户帐号:
Visual Basic .NET 
<%@ Page Language="VB" %>
<%@ Import Namespace = "System.Web" %>
<%@ Import Namespace = "System.Web.Security" %>
<%@ Import Namespace = "System.Security.Principal" %>
<%@ Import Namespace = "System.Runtime.InteropServices" %>

<script runat=server>
Dim LOGON32_LOGON_INTERACTIVE As Integer  = 2
Dim LOGON32_PROVIDER_DEFAULT As Integer = 0

Dim impersonationContext As WindowsImpersonationContext

Declare Auto Function LogonUser Lib "advapi32.dll" (ByVal lpszUsername As String, _
                           ByVal lpszDomain As String, _
                           ByVal lpszPassword As String, _
                           ByVal dwLogonType As Integer, _
                           ByVal dwLogonProvider As Integer, _
                           ByRef phToken As IntPtr) As Integer
Declare Auto Function DuplicateToken Lib "advapi32.dll"(ByVal ExistingTokenHandle As IntPtr, _
                           ImpersonationLevel As Integer, _
                           ByRef DuplicateTokenHandle As IntPtr) As Integer

Public Sub Page_Load(s As Object, e As EventArgs)
   If impersonateValidUser("username", "domain", "password") Then
      'Insert your code that runs under the security context of a specific user here.
      undoImpersonation()
   Else
      'Your impersonation failed. Therefore, include a fail-safe mechanism here.
   End If
End Sub

Private Function impersonateValidUser(userName As String, _
domain As String, password As String) As Boolean 
   Dim tempWindowsIdentity As WindowsIdentity
   Dim token As IntPtr
   Dim tokenDuplicate As IntPtr

   If LogonUser(userName, domain, password, LOGON32_LOGON_INTERACTIVE, _
                LOGON32_PROVIDER_DEFAULT, token) <> 0 Then
      If DuplicateToken(token, 2, tokenDuplicate) <> 0 Then 
                tempWindowsIdentity = new WindowsIdentity(tokenDuplicate)
                impersonationContext = tempWindowsIdentity.Impersonate()
      
                If impersonationContext Is Nothing Then
                   impersonateValidUser = False
                Else
    	           impersonateValidUser = True
                End If
      Else
	        impersonateValidUser = False
      End If
   Else
      impersonateValidUser = False
   End If
End Function

Private Sub undoImpersonation()
   impersonationContext.Undo()
End Sub
</script>
Visual C# .NET 
<%@ Page Language="C#"%>
<%@ Import Namespace = "System.Web" %>
<%@ Import Namespace = "System.Web.Security" %>
<%@ Import Namespace = "System.Security.Principal" %>
<%@ Import Namespace = "System.Runtime.InteropServices" %>

<script runat=server>
public const int LOGON32_LOGON_INTERACTIVE = 2;
public const int LOGON32_PROVIDER_DEFAULT = 0;

WindowsImpersonationContext impersonationContext; 

[DllImport("advapi32.dll", CharSet=CharSet.Auto)]
public static extern int LogonUser(String lpszUserName, 
                                  String lpszDomain,
                                  String lpszPassword,
                                  int dwLogonType, 
                                  int dwLogonProvider,
                                  ref IntPtr phToken);
[DllImport("advapi32.dll", CharSet=System.Runtime.InteropServices.CharSet.Auto, SetLastError=true)]
public extern static int DuplicateToken(IntPtr hToken, 
                                  int impersonationLevel,  
                                  ref IntPtr hNewToken);

public void Page_Load(Object s, EventArgs e)
{
   if(impersonateValidUser("username", "domain", "password"))
   {
      //Insert your code that runs under the security context of a specific user here.
      undoImpersonation();
   }
   else
   {
      //Your impersonation failed. Therefore, include a fail-safe mechanism here.
   }
}

private bool impersonateValidUser(String userName, String domain, String password)
{
   WindowsIdentity tempWindowsIdentity;
   IntPtr token = IntPtr.Zero;
   IntPtr tokenDuplicate = IntPtr.Zero;

   if(LogonUser(userName, domain, password, LOGON32_LOGON_INTERACTIVE, 
   LOGON32_PROVIDER_DEFAULT, ref token) != 0)
   {
      if(DuplicateToken(token, 2, ref tokenDuplicate) != 0) 
      {
         tempWindowsIdentity = new WindowsIdentity(tokenDuplicate);
         impersonationContext = tempWindowsIdentity.Impersonate();
         if (impersonationContext != null)
            return true;
         else
            return false; 
      }
      else
         return false;
   } 
   else
      return false;
}
private void undoImpersonation()
{
     impersonationContext.Undo();
} 
</script>
下面介绍ASP.NET应用程序中使用身份模拟的一个简单应用。例如有一个ASP.NET应用程序要检查服务器端某个文件是否存在,相应的程序代码为: 
bool a = File.Exists("D://Share//test.txt");
缺省情况下该ASP.NET应用程序以ASPNET帐号运行。为了安全起见,ASPNET这个帐号并没有服务器端D:/Share/这个目录的访问权限。在不使用身份模拟的情况下,由于ASP.NET应用程序不具有访问该目录的权限,无论文件是否存在,File.Exists的返回值将永远是false。为了解决这个问题,可以另建一个用户帐号:FileExist,并赋予该帐号D:/Share/目录的访问权限。然后在该应用程序的Web.config文件的<identity>标记中指定具体的用户帐号: 
<identity impersonate="true" userName="FileExist" password="password" />
来执行该程序。
eigo
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
从identity impersonate="false"谈起
eigo的聊哥儿
03-24 1万+
今天调程序,同水晶报表的交互和excel交互总调不出来,上网查到解决办法:将identity impersonate="true"改为identity impersonate="false"即可。于是,去查找identity impersonate相关的资料,找到比较系统的介绍:asp.net标识矩阵。详见如下:ASP.NET 标识矩阵 本页内容
web.config添加identity impersonate="true"导致拒绝访问
weixin_30873847的博客
07-19 4427
例:<identity impersonate="tr" userName="AD\name" password="word"/> 需要给文件夹C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Temporary ASP.NET Files 添加用户"AD\name"的权限 参考1:在Web.Config有一个<identity&g...
Win2008 server + IIS7 设置身份模拟(ASP.NET impersonation)
10-28
IIS7 与 IIS 6 相比有了很大的改动,原来在 IIS 6 下可以的设置到了 IIS 7 下有的会发生变化。身份模拟的配置上,IIS7 和 IIS6有很大不同,网上IIS6的身份模拟的文章比较多,但介绍IIS7的比较少,我把的一些折腾的经验在这篇博客写下来,以供参考
.net c# 服务器共享文件夹 windows远程登陆 代码
weixin_30408165的博客
04-15 173
一个刚刚开始学习编程的人,如果遇到问题无法解决可能会寻找别的解决方案,如果长此以往可能会放弃这门语言而学习其他的语言... 开源与分享的重要性 使用场景:将网站所有附件上传到指定服务器的共享目录下,首先在服务器上新建文件夹并共享 1. 新建类FileHelper namespace Frame.FileHelper{ public class FileHelp...
ASP.NET访问网络驱动器(映射磁盘)
qq_38748853的博客
12-27 593
在程序用指定账户创建映射,并用该账户运行IIS进程 1、在文件服务器上创建共享目录,并新建访问账户。 比如共享目录为:\192.168.0.9\share 访问账户为:user-1 密码为:123456 2、在WEB服务器上新建用户:user-1 密码为:123456,用户组选择默认的user组即可。 3、在WEB项目新建公共类WNetHelper using System.Runtime.I...
Could not load type ‘System.Security.Principal.WindowsImpersonationContext‘ 报错
qq_38313984的博客
08-26 2133
这个报错虽然知道是引用包不匹配造成的,并且一直在Oracle.ManagedDataAccess.Core的版本那里纠结,后面发现是另一个地方引用的是Oracle.ManagedDataAccess造成的 解决办法:移除掉Oracle.ManagedDataAccess这个包,替换成Oracle.ManagedDataAccess.Core就不会再报错了 ...
用户“XXX\XXX”不具有所需的权限。请验证授予了足够的权限并且解决了 Windows 用户帐户控制(UAC)限制问题。...
anxue8595的博客
05-31 1098
装的win8,启动reporting service配置管理器,打服务地址,总是报没权限。搜了半天没找到,最后在老外论坛上找到答案,需要在注册表加个值。 To make the Report Manager work under Windows 7, I had to add the registry key: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsof...
用户“*****”不具有所需的权限。请验证授予了足够的权限并且解决了 Windows 用户帐户控制(UAC)限制问题。
qq_38472574的博客
07-27 718
用户“*****”不具有所需的权限。请验证授予了足够的权限并且解决了 Windows 用户帐户控制(UAC)限制问题。
如何使用<identity impersonate="true"/>
给力VSTO
11-19 7947
前两天在VS下做个项目,用到了excel组件没有问题,但当把该项目在IIS下配置后,用浏览器浏览结果则不正确,网上说用dcom组件配置下,可是我按照要求配了,结果还是不对。 后来找到一个方法好用了。 Web.config加了一句话:“”,浏览…,结果正确,后来我就在网上查了下这句话的作用,MSDN是这样说的: 1、模拟 IIS 验证的帐户或用户 若要在收到 ASP.NET 应用程序每个
用户“Michael-PC\Michael”不具有所需的权限。请验证授予了足够的权限并且解决了 Windows 用户帐户控制(UAC)限制问题。
xuan2717的博客
11-16 645
用户“Michael-PC\Michael”不具有所需的权限。请验证授予了足够的权限并且解决了 Windows 用户帐户控制(UAC)限制问题。
IISASP.NET连接SQL Server出错的解决方法
01-02
或是当ASP.NET应 用程序以另一个Windows用户而非ASPNET运行时,使用ASP.NET impersonation方法。 为了使ASPNET帐户可以访问ASP.NET应用程序的数据库,需要完成以下步骤: 1)启动SQL Server Management Studio,指定...
JwtAuthDemo:ASP.NET Core + Angular JWT身份验证演示; 整合测试; 登录,注销,刷新令牌,模拟身份验证,授权; 在Docker Compose上运行
05-06
在本文,我将向您展示如何使用JWT身份验证和授权来实现ASP.NET Core Web API应用程序。 在本文,我们将使用Angular构建一个简单的应用程序。 我们将实现AuthService类,以处理登录,注销和刷新令牌过程以及...
Impostor:Django应用程序,使员工可以使用自己的凭据以其他用户身份登录
02-04
每个这样的身份验证都记录在数据库,并在管理界面列出,每个人都可以访问ImpostorLog界面。 但是,无法通过管理界面删除日志条目,从而使覆盖曲目更加困难。 Impostor已在Django 1.11及更高版本上进行了测试。...
配置Report services的管理员权限,即网页无授权问题
weixin_30556161的博客
01-26 568
ReportingServicesusesrole-basedsecuritytograntuseraccesstoareportserver.Onanewreportserverinstallation,onlyuserswhoaremembersofthelocalAdministratorsgrouphavepermission...
添加 <identity impersonate="true" userName="username" password="password"/>,解决问题!
weixin_33725515的博客
12-29 312
前两天在VS2005下做个项目,用里面集成的Web服务调试没问题,但当把该项目在IIS下配置后,用浏览器浏览结果则不正确,这个问题郁闷了一天,后来我想不出招就让我同事调试了一下,他在Web.config加了一句话:“&lt;identity impersonate="true"  userName="操作系统用户" password="用户密码"/&gt;”,浏览…,结果正确,后来我就在网上查了...
SQL Server 2008 R2 Reporting Service 登录权限不足的问题
finkle_zhang的专栏
08-06 3374
问题描述:Windows 8 下用管理员账户登录localhost/reports时,用户“XXX\xxx”不具有所需的权限。请验证授予了足够的权限并且解决了 Windows 用户帐户控制(UAC)限制问题 1. 以管理员账户登录windows 8 2. 管理员权限运行IE       3.  访问http://localhost/Reports         4.    点
IIS与SQL Server 2005设置,让Reporting Services发布的web报表允许匿名访问
weixin_34021089的博客
07-19 356
           SQL Server Reporting Services 并非专门设计用于 Internet 报表部署方案,但是您可以成功地将 Reporting Services 放置于面向 Internet 的 Web 服务器上,   以将一般信息向广大公众传播,或者将公司保密数据向经过授权和身份验证的用户传播。            公司的一个项目的报表准备升级到SQL Serve...
system.web/identity@impersonate 设置为 true,解决方案
热门推荐
PI_ZT的专栏
10-28 3万+
最可能的原因: system.web/identity@impersonate 设置为 true。 Win7上安装动易网站出现上述错误的解决方法 1.选择自己的应用池如:jdy 2.选择右侧:设置应用程序池默认设置 3.选择 常规:启用32位应用程序 设置 "true" 如果没有则不选择。 4.托管管道模式 改为Classic 5.以上操作基本可
ASP.NET教务管理平台-权限及公共模块设计与开发
最新发布
大叔_爱编程 的博客
04-23 738
Visual Studio 2005 是一系列高效的、智能的开发工具的统称,它拥有一个庞大的产品线,包括面向学生、爱好者、初学者的Express版,面向专家、Visual Basic 6的Standard版,面向顾问、企业开发人员的Professional版和面向架构师的Team System版本。在这些版本,有些集成了开发软件常用到的东西,比如重构、单元测试、类设计器等等,以方便开发人员快速的设计各类软件。
hadoop集群安装hive
05-19
安装 Hive 需要先安装 Hadoop,因为 Hive 需要依赖于 Hadoop 文件系统和 MapReduce。下面是基于 Hadoop 2.x 版本的 Hive 安装步骤: 1. 下载 Hive 安装包并解压缩到指定目录: ``` tar -zxf apache-hive-x.x.x-bin.tar.gz sudo mv apache-hive-x.x.x-bin /usr/local/hive ``` 2. 配置环境变量: ``` export HIVE_HOME=/usr/local/hive export PATH=$PATH:$HIVE_HOME/bin ``` 3. 修改 Hive 配置文件 hive-site.xml: ``` cd $HIVE_HOME/conf cp hive-default.xml.template hive-site.xml vi hive-site.xml ``` 在 hive-site.xml 文件添加以下配置信息: ``` <configuration> <property> <name>javax.jdo.option.ConnectionURL</name> <value>jdbc:mysql://localhost:3306/hive?createDatabaseIfNotExist=true</value> <description>JDBC connect string for a JDBC metastore</description> </property> <property> <name>javax.jdo.option.ConnectionDriverName</name> <value>com.mysql.jdbc.Driver</value> <description>Driver class name for a JDBC metastore</description> </property> <property> <name>javax.jdo.option.ConnectionUserName</name> <value>hive</value> <description>Username to use against metastore database</description> </property> <property> <name>javax.jdo.option.ConnectionPassword</name> <value>hive</value> <description>Password to use against metastore database</description> </property> <property> <name>hive.metastore.warehouse.dir</name> <value>/user/hive/warehouse</value> <description>Location of Hive warehouse directory</description> </property> <property> <name>hive.exec.local.scratchdir</name> <value>/tmp/hive</value> <description>Local scratch space for Hive jobs</description> </property> <property> <name>hive.querylog.location</name> <value>/var/log/hive</value> <description>Location of Hive query log</description> </property> <property> <name>hive.server2.enable.doAs</name> <value>false</value> <description>Enable impersonation for HiveServer2</description> </property> <property> <name>hive.server2.thrift.port</name> <value>10000</value> <description>TCP port number for HiveServer2</description> </property> </configuration> ``` 4. 修改 Hive 配置文件 hive-env.sh: ``` cd $HIVE_HOME/conf cp hive-env.sh.template hive-env.sh vi hive-env.sh ``` 在 hive-env.sh 文件添加以下配置信息: ``` export HADOOP_HOME=/usr/local/hadoop export HIVE_CONF_DIR=/usr/local/hive/conf export HIVE_AUX_JARS_PATH=$HADOOP_HOME/share/hadoop/common/lib/mysql-connector-java-x.x.x.jar ``` 5. 启动 Hive 元数据存储服务: ``` schematool -initSchema -dbType mysql ``` 6. 启动 Hive 服务: ``` hive --service metastore & hive --service hiveserver2 & ``` 至此,Hive 部署完成。可以通过 `hive -e "show databases;"` 测试 Hive 是否正常运行。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值