28

当使用 node.js 作为客户端时,是否可以使用 Windows 集成身份验证连接到服务器(例如连接到 IIS 时)?

我对此的搜索只出现了 node.js 用作服务器的结果。

4

3 回答 3

37

2015 更新:现在有一些模块实现了 Windows 集成身份验证。 node-sspi使用 SSPI(Windows 安全 API)来处理服务器端的事情,但不执行客户端身份验证。有几个客户端实现,例如http-ntlm,但它们并没有真正集成,因为它们需要用户密码——它们不使用 SSPI 进行透明身份验证。

2019 年更新:似乎可以使用kerberos库使用 SSPI 执行真正的 Windows 集成 HTTP 身份验证(即,使用节点进程的令牌进行透明身份验证)。请参阅kerberos-agent。显然,这使用 Kerberos 而不是 NTLM/Negotiate,因此这可能会或可能不会根据您的具体情况而工作。


“Windows 集成身份验证”就是所谓的 NTLM 身份验证。当您从 IIS 收到带有WWW-Authenticate包含 的标头的 HTTP 401 时NTLM,您现在可以享受实现 NTLM 身份验证协议的乐趣。引用本文档中有关 NTLM 身份验证协议的内容


  1. 客户端向服务器请求受保护的资源:

    GET /index.html HTTP/1.1
    
  2. 服务器以401状态响应,指示客户端必须进行身份验证。NTLM通过WWW-Authenticate标头呈现为受支持的身份验证机制。通常,服务器此时会关闭连接:

    HTTP/1.1 401 Unauthorized
    WWW-Authenticate: NTLM
    Connection: close
    

    请注意,Internet Explorer 只有在它是提供的第一种机制时才会选择 NTLM;这与 RFC 2616 不一致,RFC 2616 规定客户端必须选择支持的最强身份验证方案。

  3. Authorization客户端使用包含Type 1 消息参数的标头重新提交请求。Type 1 消息经过 Base-64 编码以进行传输。从现在开始,连接保持打开状态;关闭连接需要重新验证后续请求。这意味着服务器和客户端必须支持持久连接,通过 HTTP 1.0 样式的“Keep-Alive”标头或 HTTP 1.1(默认使用持久连接)。相关的请求标头如下所示:

    GET /index.html HTTP/1.1
    Authorization: NTLM TlRMTVNTUAABAAAABzIAAAYABgArAAAACwALACAAAABXT1JLU1RBVElPTkRPTUFJTg==
    
  4. 服务器回复的状态信息在标头中401包含Type 2 消息WWW-Authenticate(同样,Base-64 编码)。这如下所示。

    HTTP/1.1 401 Unauthorized
    WWW-Authenticate: NTLM TlRMTVNTUAACAAAADAAMADAAAAABAoEAASNFZ4mrze8AAAAAAAAAAGIAYgA8AAAARABPAE0AQQBJAE4AAgAMAEQATwBNAEEASQBOAAEADABTAEUAUgBWAEUAUgAEABQAZABvAG0AYQBpAG4ALgBjAG8AbQADACIAcwBlAHIAdgBlAHIALgBkAG8AbQBhAGkAbgAuAGMAbwBtAAAAAAA=
    
  5. Authorization客户端通过使用包含 Base-64 编码的Type 3 消息的标头重新提交请求来响应 Type 2消息:

    GET /index.html HTTP/1.1
    Authorization: NTLM TlRMTVNTUAADAAAAGAAYAGoAAAAYABgAggAAAAwADABAAAAACAAIAEwAAAAWABYAVAAAAAAAAACaAAAAAQIAAEQATwBNAEEASQBOAHUAcwBlAHIAVwBPAFIASwBTAFQAQQBUAEkATwBOAMM3zVy9RPyXgqZnr21CfG3mfCDC0+d8ViWpjBwx6BhHRmspst9GgPOZWPuMITqcxg==
    
  6. 最后,服务器验证客户端类型 3 消息中的响应并允许访问资源。

     HTTP/1.1 200 OK
    

您必须弄清楚您将如何回复 Type 2 消息的挑战,其中用户的密码经过 MD4 散列并用于创建 DES 密钥以加密挑战数据。

我不确定您将如何访问登录用户的凭据数据,这将允许您完成此操作,但我确信这将涉及编写本机 C++ 插件,以便您可以与必要的 Windows API 交谈。或者,我想您可以只询问用户的密码。

或者,您可以通过为您处理 NTLM 混乱的软件代理您的节点请求

于 2012-12-19T20:21:26.367 回答
5

对于 Kerberos:

  • 节点sspi

    Just on windows
    No client side node
    Supports NTLM too
    
  • 护照协商

    Needs python on the server
    it's a passportJs strategy
    

对于 NTLM

  • 节点sspi

    Just on windows
    No client side node
    Supports Kerberos too
    
  • httpntlm
  • 快递-ntlm
  • 请求-ntlm
  • ntlm

    experimental project!
    
  • ntlm-身份验证

    experimental!
    
  • 护照-ntlm

    supports SMB protocol
    it's a passportJs strategy
    

我为 Kerberos 选择了 passport-negotiate,为 NTLM 选择了 express-ntlm

于 2016-05-27T18:21:33.603 回答
-1

对于客户端,有效的是使用 node-libcurl 进行 REST / HTTP 调用。

这是示例代码:

var endpoint = urlString;
var url = require("url");
var endpointUrl = url.parse(endpoint);

var Curl = require( 'node-libcurl' ).Curl;
var curl = new Curl();

curl.setOpt( 'USERNAME', '' );
//curl.setOpt( 'VERBOSE', 1 );
curl.setOpt( 'URL', endpoint );
curl.setOpt( 'HTTPAUTH', Curl.auth.NEGOTIATE );
curl.setOpt( 'NOPROXY', endpointUrl.hostname );

curl.on( 'end', function( statusCode, body, headers ) {

    if (statusCode === 200) {
        console.log(body);
        cb(null, { statusCode, body, headers } ); 
    } else {
        cb(new Error(), { statusCode, body, headers } ); 
    }

    this.close();
});

curl.on( 'error', curl.close.bind( curl ) );
curl.perform();
于 2017-12-28T22:25:29.707 回答