跳到主要內容

asp.net切換執行身份

有時候為了在伺服器端列印或是連接網路磁碟等因素必須使用不同的身份,asp.net切換執行身份有兩種方式,一種是在web.config指定impersonate="true"
<system.web>
<identity impersonate="true" username="app1"
password="app1pw">
</identity>
</system.web>

這種作法會讓整個web ap下的執行身份都變成這個user,比較容易有安全性漏洞。
當然也可以把上面這段放在location區段下,變成

<location path="app1" allowoverride="false">
<system.web>
<identity impersonate="true" username="app1"
password="app1pw">
</identity>
</system.web>
</location>

另一種方式用Windows API去做impersonate,
public const int LOGON32_LOGON_INTERACTIVE = 2;
public const int LOGON32_PROVIDER_DEFAULT = 0;

WindowsImpersonationContext impersonationContext;

[DllImport("advapi32.dll")]
public static extern int LogonUserA(String lpszUserName,
String lpszDomain,
String lpszPassword,
int dwLogonType,
int dwLogonProvider,
ref IntPtr phToken);
[DllImport("advapi32.dll", CharSet = CharSet.Auto, SetLastError = true)]
public static extern int DuplicateToken(IntPtr hToken,
int impersonationLevel,
ref IntPtr hNewToken);

[DllImport("advapi32.dll", CharSet = CharSet.Auto, SetLastError = true)]
public static extern bool RevertToSelf();

[DllImport("kernel32.dll", CharSet = CharSet.Auto)]
public static extern bool CloseHandle(IntPtr handle);



public bool ImpersonateValidUser(String userName, String domain, String password)
{
WindowsIdentity tempWindowsIdentity;
IntPtr token = IntPtr.Zero;
IntPtr tokenDuplicate = IntPtr.Zero;

if (RevertToSelf())
{
if (LogonUserA(userName, domain, password, LOGON32_LOGON_INTERACTIVE,
LOGON32_PROVIDER_DEFAULT, ref token) != 0)
{
if (DuplicateToken(token, 2, ref tokenDuplicate) != 0)
{
tempWindowsIdentity = new WindowsIdentity(tokenDuplicate);
impersonationContext = tempWindowsIdentity.Impersonate();
if (impersonationContext != null)
{
CloseHandle(token);
CloseHandle(tokenDuplicate);
return true;
}
}
}
}
if (token != IntPtr.Zero)
CloseHandle(token);
if (tokenDuplicate != IntPtr.Zero)
CloseHandle(tokenDuplicate);
return false;
}

public void UndoImpersonation()
{
if(impersonationContext != null)
impersonationContext.Undo();
}
這樣做在程式碼裏就可以直接切換執行身份,但問題又來了,在XP/2003是可以正常執行,在Win2000 Pro或Server都不行,必須在控制台->系統管理工具->本機安全性原則->本機原則->使用者權限指派->「作為作業系統的一部份」權限授與 ASP.NET 處理序帳戶。
微軟說這樣做將會造成安全上的危險,自己看著辦,不然就花錢升級吧!但到時候asp執行有問題或是權限不會設定可別找我,微軟都有密技可以處理。

留言

這個網誌中的熱門文章

自然人憑證讀卡機驅動程式

鳥毅用的是第一代的自然人憑證讀卡機,EZ100PU(後來有同事買EZmini可以讀SIM卡似乎更好),每年報稅時用一次。 本來只是要申請些政府業務,一時之間找不到光碟,沒想到在 驅動程式下載 居然看到Linux和Mac的驅動程式,剩下的就是政府單位的網頁和程式應該改版了吧!!!

在Windows Server設定L2TP over IPSec VPN

簡單地說,macOS Sierra與iOS 10發表後,大家忽然發現Apple不再支援PPTP,所以一定得設定其他的VPN型態。若不要另外裝client,用L2TP是最方便的,SSL VPN雖然好,但若沒有安裝Agent要連線到任一電腦或是非網頁服務還是挺麻煩的。