当使用 node.js 作为客户端时,是否可以使用 Windows 集成身份验证连接到服务器(例如连接到 IIS 时)?
我对此的搜索只出现了 node.js 用作服务器的结果。
当使用 node.js 作为客户端时,是否可以使用 Windows 集成身份验证连接到服务器(例如连接到 IIS 时)?
我对此的搜索只出现了 node.js 用作服务器的结果。
2015 更新:现在有一些模块实现了 Windows 集成身份验证。 node-sspi使用 SSPI(Windows 安全 API)来处理服务器端的事情,但不执行客户端身份验证。有几个客户端实现,例如http-ntlm,但它们并没有真正集成,因为它们需要用户密码——它们不使用 SSPI 进行透明身份验证。
2019 年更新:似乎可以使用kerberos库使用 SSPI 执行真正的 Windows 集成 HTTP 身份验证(即,使用节点进程的令牌进行透明身份验证)。请参阅kerberos-agent。显然,这使用 Kerberos 而不是 NTLM/Negotiate,因此这可能会或可能不会根据您的具体情况而工作。
“Windows 集成身份验证”就是所谓的 NTLM 身份验证。当您从 IIS 收到带有WWW-Authenticate
包含 的标头的 HTTP 401 时NTLM
,您现在可以享受实现 NTLM 身份验证协议的乐趣。引用本文档中有关 NTLM 身份验证协议的内容:
客户端向服务器请求受保护的资源:
GET /index.html HTTP/1.1
服务器以401
状态响应,指示客户端必须进行身份验证。NTLM
通过WWW-Authenticate
标头呈现为受支持的身份验证机制。通常,服务器此时会关闭连接:
HTTP/1.1 401 Unauthorized
WWW-Authenticate: NTLM
Connection: close
请注意,Internet Explorer 只有在它是提供的第一种机制时才会选择 NTLM;这与 RFC 2616 不一致,RFC 2616 规定客户端必须选择支持的最强身份验证方案。
Authorization
客户端使用包含Type 1 消息参数的标头重新提交请求。Type 1 消息经过 Base-64 编码以进行传输。从现在开始,连接保持打开状态;关闭连接需要重新验证后续请求。这意味着服务器和客户端必须支持持久连接,通过 HTTP 1.0 样式的“Keep-Alive”标头或 HTTP 1.1(默认使用持久连接)。相关的请求标头如下所示:
GET /index.html HTTP/1.1
Authorization: NTLM TlRMTVNTUAABAAAABzIAAAYABgArAAAACwALACAAAABXT1JLU1RBVElPTkRPTUFJTg==
服务器回复的状态信息在标头中401
包含Type 2 消息WWW-Authenticate
(同样,Base-64 编码)。这如下所示。
HTTP/1.1 401 Unauthorized
WWW-Authenticate: NTLM TlRMTVNTUAACAAAADAAMADAAAAABAoEAASNFZ4mrze8AAAAAAAAAAGIAYgA8AAAARABPAE0AQQBJAE4AAgAMAEQATwBNAEEASQBOAAEADABTAEUAUgBWAEUAUgAEABQAZABvAG0AYQBpAG4ALgBjAG8AbQADACIAcwBlAHIAdgBlAHIALgBkAG8AbQBhAGkAbgAuAGMAbwBtAAAAAAA=
Authorization
客户端通过使用包含 Base-64 编码的Type 3 消息的标头重新提交请求来响应 Type 2消息:
GET /index.html HTTP/1.1
Authorization: NTLM TlRMTVNTUAADAAAAGAAYAGoAAAAYABgAggAAAAwADABAAAAACAAIAEwAAAAWABYAVAAAAAAAAACaAAAAAQIAAEQATwBNAEEASQBOAHUAcwBlAHIAVwBPAFIASwBTAFQAQQBUAEkATwBOAMM3zVy9RPyXgqZnr21CfG3mfCDC0+d8ViWpjBwx6BhHRmspst9GgPOZWPuMITqcxg==
最后,服务器验证客户端类型 3 消息中的响应并允许访问资源。
HTTP/1.1 200 OK
您必须弄清楚您将如何回复 Type 2 消息的挑战,其中用户的密码经过 MD4 散列并用于创建 DES 密钥以加密挑战数据。
我不确定您将如何访问登录用户的凭据数据,这将允许您完成此操作,但我确信这将涉及编写本机 C++ 插件,以便您可以与必要的 Windows API 交谈。或者,我想您可以只询问用户的密码。
或者,您可以通过为您处理 NTLM 混乱的软件代理您的节点请求。
对于 Kerberos:
节点sspi
Just on windows
No client side node
Supports NTLM too
护照协商
Needs python on the server
it's a passportJs strategy
对于 NTLM
节点sspi
Just on windows
No client side node
Supports Kerberos too
ntlm
experimental project!
ntlm-身份验证
experimental!
护照-ntlm
supports SMB protocol
it's a passportJs strategy
我为 Kerberos 选择了 passport-negotiate,为 NTLM 选择了 express-ntlm
对于客户端,有效的是使用 node-libcurl 进行 REST / HTTP 调用。
这是示例代码:
var endpoint = urlString;
var url = require("url");
var endpointUrl = url.parse(endpoint);
var Curl = require( 'node-libcurl' ).Curl;
var curl = new Curl();
curl.setOpt( 'USERNAME', '' );
//curl.setOpt( 'VERBOSE', 1 );
curl.setOpt( 'URL', endpoint );
curl.setOpt( 'HTTPAUTH', Curl.auth.NEGOTIATE );
curl.setOpt( 'NOPROXY', endpointUrl.hostname );
curl.on( 'end', function( statusCode, body, headers ) {
if (statusCode === 200) {
console.log(body);
cb(null, { statusCode, body, headers } );
} else {
cb(new Error(), { statusCode, body, headers } );
}
this.close();
});
curl.on( 'error', curl.close.bind( curl ) );
curl.perform();