星期三, 8月 23, 2006

asp.net切換執行身份

有時候為了在伺服器端列印或是連接網路磁碟等因素必須使用不同的身份,asp.net切換執行身份有兩種方式,一種是在web.config指定impersonate="true"
<system.web>
<identity impersonate="true" username="app1"
password="app1pw">
</identity>
</system.web>

這種作法會讓整個web ap下的執行身份都變成這個user,比較容易有安全性漏洞。
當然也可以把上面這段放在location區段下,變成

<location path="app1" allowoverride="false">
<system.web>
<identity impersonate="true" username="app1"
password="app1pw">
</identity>
</system.web>
</location>

另一種方式用Windows API去做impersonate,
public const int LOGON32_LOGON_INTERACTIVE = 2;
public const int LOGON32_PROVIDER_DEFAULT = 0;

WindowsImpersonationContext impersonationContext;

[DllImport("advapi32.dll")]
public static extern int LogonUserA(String lpszUserName,
String lpszDomain,
String lpszPassword,
int dwLogonType,
int dwLogonProvider,
ref IntPtr phToken);
[DllImport("advapi32.dll", CharSet = CharSet.Auto, SetLastError = true)]
public static extern int DuplicateToken(IntPtr hToken,
int impersonationLevel,
ref IntPtr hNewToken);

[DllImport("advapi32.dll", CharSet = CharSet.Auto, SetLastError = true)]
public static extern bool RevertToSelf();

[DllImport("kernel32.dll", CharSet = CharSet.Auto)]
public static extern bool CloseHandle(IntPtr handle);



public bool ImpersonateValidUser(String userName, String domain, String password)
{
WindowsIdentity tempWindowsIdentity;
IntPtr token = IntPtr.Zero;
IntPtr tokenDuplicate = IntPtr.Zero;

if (RevertToSelf())
{
if (LogonUserA(userName, domain, password, LOGON32_LOGON_INTERACTIVE,
LOGON32_PROVIDER_DEFAULT, ref token) != 0)
{
if (DuplicateToken(token, 2, ref tokenDuplicate) != 0)
{
tempWindowsIdentity = new WindowsIdentity(tokenDuplicate);
impersonationContext = tempWindowsIdentity.Impersonate();
if (impersonationContext != null)
{
CloseHandle(token);
CloseHandle(tokenDuplicate);
return true;
}
}
}
}
if (token != IntPtr.Zero)
CloseHandle(token);
if (tokenDuplicate != IntPtr.Zero)
CloseHandle(tokenDuplicate);
return false;
}

public void UndoImpersonation()
{
if(impersonationContext != null)
impersonationContext.Undo();
}
這樣做在程式碼裏就可以直接切換執行身份,但問題又來了,在XP/2003是可以正常執行,在Win2000 Pro或Server都不行,必須在控制台->系統管理工具->本機安全性原則->本機原則->使用者權限指派->「作為作業系統的一部份」權限授與 ASP.NET 處理序帳戶。
微軟說這樣做將會造成安全上的危險,自己看著辦,不然就花錢升級吧!但到時候asp執行有問題或是權限不會設定可別找我,微軟都有密技可以處理。

沒有留言: