跳到主要內容

asp.net切換執行身份

有時候為了在伺服器端列印或是連接網路磁碟等因素必須使用不同的身份,asp.net切換執行身份有兩種方式,一種是在web.config指定impersonate="true"
<system.web>
<identity impersonate="true" username="app1"
password="app1pw">
</identity>
</system.web>

這種作法會讓整個web ap下的執行身份都變成這個user,比較容易有安全性漏洞。
當然也可以把上面這段放在location區段下,變成

<location path="app1" allowoverride="false">
<system.web>
<identity impersonate="true" username="app1"
password="app1pw">
</identity>
</system.web>
</location>

另一種方式用Windows API去做impersonate,
public const int LOGON32_LOGON_INTERACTIVE = 2;
public const int LOGON32_PROVIDER_DEFAULT = 0;

WindowsImpersonationContext impersonationContext;

[DllImport("advapi32.dll")]
public static extern int LogonUserA(String lpszUserName,
String lpszDomain,
String lpszPassword,
int dwLogonType,
int dwLogonProvider,
ref IntPtr phToken);
[DllImport("advapi32.dll", CharSet = CharSet.Auto, SetLastError = true)]
public static extern int DuplicateToken(IntPtr hToken,
int impersonationLevel,
ref IntPtr hNewToken);

[DllImport("advapi32.dll", CharSet = CharSet.Auto, SetLastError = true)]
public static extern bool RevertToSelf();

[DllImport("kernel32.dll", CharSet = CharSet.Auto)]
public static extern bool CloseHandle(IntPtr handle);



public bool ImpersonateValidUser(String userName, String domain, String password)
{
WindowsIdentity tempWindowsIdentity;
IntPtr token = IntPtr.Zero;
IntPtr tokenDuplicate = IntPtr.Zero;

if (RevertToSelf())
{
if (LogonUserA(userName, domain, password, LOGON32_LOGON_INTERACTIVE,
LOGON32_PROVIDER_DEFAULT, ref token) != 0)
{
if (DuplicateToken(token, 2, ref tokenDuplicate) != 0)
{
tempWindowsIdentity = new WindowsIdentity(tokenDuplicate);
impersonationContext = tempWindowsIdentity.Impersonate();
if (impersonationContext != null)
{
CloseHandle(token);
CloseHandle(tokenDuplicate);
return true;
}
}
}
}
if (token != IntPtr.Zero)
CloseHandle(token);
if (tokenDuplicate != IntPtr.Zero)
CloseHandle(tokenDuplicate);
return false;
}

public void UndoImpersonation()
{
if(impersonationContext != null)
impersonationContext.Undo();
}
這樣做在程式碼裏就可以直接切換執行身份,但問題又來了,在XP/2003是可以正常執行,在Win2000 Pro或Server都不行,必須在控制台->系統管理工具->本機安全性原則->本機原則->使用者權限指派->「作為作業系統的一部份」權限授與 ASP.NET 處理序帳戶。
微軟說這樣做將會造成安全上的危險,自己看著辦,不然就花錢升級吧!但到時候asp執行有問題或是權限不會設定可別找我,微軟都有密技可以處理。

留言

這個網誌中的熱門文章

自然人憑證讀卡機驅動程式

鳥毅用的是第一代的自然人憑證讀卡機,EZ100PU(後來有同事買EZmini可以讀SIM卡似乎更好),每年報稅時用一次。 本來只是要申請些政府業務,一時之間找不到光碟,沒想到在 驅動程式下載 居然看到Linux和Mac的驅動程式,剩下的就是政府單位的網頁和程式應該改版了吧!!!

DBeaver 介面語言

DBeaver是我個人頗常用的一套跨平台Database管理工具,最近升級後發現Windows版本居然變成簡體中文,而且無法切換為英文。

如何將較高版本SQL Server複製到低版本SQL Server (降級為舊版)並保留權限及資料庫圖表

一般若是要將SQL Server裡的Database轉往其他Server時,最簡單的方式就是備份(Backup)後再還原(Restore),或者是䣃離(detach)後附加(attach)。 但是很不幸地,若是由較低版本(e.g. 2008)到較高版本(e.g. 2012)要怎麼辦呢?