1

我想知道在 .NET 中是否可以将在 IIS 中运行应用程序池的身份凭据发送到使用基本身份验证的 API。我已经成功地从应用程序池中检索到身份上下文。但是,在我看到的每个使用基本身份验证的示例中。他们似乎都需要手动将 Authorization 标头添加到请求中。这是一个问题,因为我无法直接访问 Windows 身份的密码,因此我无法手动创建基本身份验证令牌。我一直在尝试使用 .DefaultCredentials 属性,但它无法生成 Auth 标头,因此响应失败并显示 401。如果这不可能,那么我将采取不同的方法,但我想在这样做之前先确定一下。完整的代码示例如下...

            using (var impersonationContext = WindowsIdentity.Impersonate(IntPtr.Zero))
        {
            HttpWebRequest request1 = (HttpWebRequest)WebRequest.Create("url");
            HttpClient request2 = new HttpClient();
            WebClient request3 = new WebClient();
            WebRequest request4 = WebRequest.Create("url");

            try
            {
                // this code is now using the application pool indentity
                try
                {
                    //Method 1
                    //request1.UseDefaultCredentials = true;
                    //request1.PreAuthenticate = true;
                    //string encoded = System.Convert.ToBase64String(System.Text.Encoding.GetEncoding("ISO-8859-1").GetBytes(WindowsIdentity.GetCurrent().Name + ":" + "No password :("));
                    //request1.Headers.Add("Authorization", "Basic " + WindowsIdentity.GetCurrent().Token.ToString());
                    //HttpWebResponse response = (HttpWebResponse)request1.GetResponse();
                    //using (var reader = new StreamReader(response.GetResponseStream()))
                    //{
                    //    JavaScriptSerializer js = new JavaScriptSerializer();
                    //    var objText = reader.ReadToEnd();
                    //    Debug.WriteLine(objText.ToString());
                    //}

                    ////Method 2
                    //client.DefaultRequestHeaders.Accept.Clear();
                    //client.DefaultRequestHeaders.Accept.Add(new MediaTypeWithQualityHeaderValue("application/json"));
                    //client.DefaultRequestHeaders.Authorization = new AuthenticationHeaderValue("Basic", WindowsIdentity.GetCurrent().Token.ToString());
                    //HttpResponseMessage response2 = client.GetAsync("url").Result; //.Result forces sync instead of async.
                    //var result = response2.Content.ReadAsStringAsync().Result;
                    //Debug.WriteLine(result);

                    //Method 3
                    //client2.Credentials = CredentialCache.DefaultNetworkCredentials;
                    //var result2 = client2.DownloadString("url");
                    //Debug.WriteLine(result2);

                    //Method 4
                    //request4.Credentials = CredentialCache.DefaultCredentials;
                    //string result4;
                    //using (var sr = new StreamReader(request4.GetResponse().GetResponseStream()))
                    //{
                    //    result4 = sr.ReadToEnd();
                    //}
                    //Debug.WriteLine(result4);
                }
                catch (Exception ex)
                {
                    throw new Exception("API Call Failed: " + ex.ToString() + " for " + WindowsIdentity.GetCurrent().Name + " request: " + request4.Headers.ToString());
                }
            }
            finally
            {
                if (impersonationContext != null)
                {
                    impersonationContext.Undo();
                }
            }
4

1 回答 1

0

App Pool Identity 和 Basic Auth 有两个不同的目的,我建议不要混合使用。正如您还提到的,您不知道应用程序池身份的密码,这是不言自明的。应用程序池标识还允许 API 访问系统资源,例如访问文件共享。

而 Basic Auth 允许您保护整个 API 免受广泛开放和任何人访问它的影响。除了知道 UserName:Password 的人需要与每个 HttpRequest 一起传递(包含 Base64 中带有 UserName:Password 的 HttpHeader)。

考虑到这些事实,当 API 开发人员需要与各方共享用户名和密码时,建议不要共享 App Pool Identity 凭据。

我使用过 App Pool Identity 和 Basic Auth,我建议将它们分开。

于 2017-05-01T18:11:41.737 回答