在ASP.NET应用程序中使用身份模拟 impersonate

在ASP.NET应用程序中使用身份模拟（Impersonation）

作者：

摘要

缺省情况下，ASP.NET应用程序以本机的ASPNET帐号运行，该帐号属于普通用户组，权限受到一定的限制，以保障ASP.NET应用程序运行的安全。但是有时需要某个ASP.NET应用程序或者程序中的某段代码执行需要特定权限的操作，比如某个文件的存取，这时就需要给该程序或相应的某段代码赋予某个帐号的权限以执行该操作，这种方法称之为身份模拟（Impersonation）。本文介绍了在ASP.NET应用程序中使用身份模拟的几种方法，并比较了它们各自适用的范围。

在阅读本文之前，建议您先阅读文章：《ASP .NET 中的身份验证：.NET 安全性指导》 以便对ASP.NET的安全控制有一个总体的了解。

---

目录

• ASP.NET中的身份模拟
• 模拟IIS认证帐号
• 在某个ASP.NET应用程序中模拟指定的用户帐号
• 在代码中模拟IIS认证帐号
• 在代码中模拟指定的用户帐号
• 更多信息

---

ASP.NET中的身份模拟

ASP.NET 通过使用身份验证提供程序来实现身份验证，一般情况下，ASP.NET的身份验证提供程序包括表单身份验证、Windows身份验证和Passport身份验证3种。当通过身份验证后，ASP.NET会检查是否启用身份模拟。如果启用，ASP .NET 应用程序使用客户端标识以客户端的身份有选择地执行。否则，ASP.NET应用程序使用本机身份标识运行（一般使用本机的ASPNET帐号），具体流程如下图所示：

在ASP.NET应用程序中使用身份模拟一般用于资源访问控制，主要有如下几种方法：

• 模拟IIS认证帐号
• 在某个ASP.NET应用程序中模拟指定的用户帐号
• 在代码中模拟IIS认证帐号
• 在代码中模拟指定的用户帐号

---

模拟IIS认证帐号

这是最简单的一种方法，使用经过IIS认证的帐号执行应用程序。您需要在Web.config文件中添加标记，并将impersonate属性设置为true：

在这种情况下，用户身份的认证交给IIS来进行。当允许匿名登录时，IIS将一个匿名登录使用的标识（缺省情况下是IUSR_MACHINENAME）交给ASP.NET应用程序。当不允许匿名登录时，IIS将认证过的身份标识传递给ASP.NET应用程序。ASP.NET的具体访问权限由该账号的权限决定。

---

模拟指定的用户帐号

当ASP.NET应用程序需要以某个特定的用户帐号执行，可以在Web.config文件的标记中指定具体的用户帐号：

这时该ASP.NET应用程序的所有页面的所有请求都将以指定的用户帐号权限执行。

---

在代码中模拟IIS认证帐号

在代码中使用身份模拟更加灵活，可以在指定的代码段中使用身份模拟，在该代码段之外恢复使用ASPNET本机帐号。该方法要求必须使用Windows的认证身份标识。下面的例子在代码中模拟IIS认证帐号：

Visual Basic .NET

Dim impersonationContext As System.Security.Principal.WindowsImpersonationContext Dim currentWindowsIdentity As System.Security.Principal.WindowsIdentity currentWindowsIdentity = CType(User.Identity, System.Security.Principal.WindowsIdentity) impersonationContext = currentWindowsIdentity.Impersonate() 'Insert your code that runs under the security context of the authenticating user here. impersonationContext.Undo() 

Visual C# .NET

System.Security.Principal.WindowsImpersonationContext impersonationContext; 

impersonationContext = ((System.Security.Principal.WindowsIdentity)User.Identity).Impersonate(); 

//Insert your code that runs under the security context of the authenticating user here. 

impersonationContext.Undo(); 

---

在代码中模拟指定的用户帐号

下面的例子在代码中模拟指定的用户帐号：

Visual Basic .NET

<%@ Page Language="VB" %>
<%@ Import Namespace = "System.Web" %>
<%@ Import Namespace = "System.Web.Security" %>
<%@ Import Namespace = "System.Security.Principal" %>
<%@ Import Namespace = "System.Runtime.InteropServices" %>

Visual C# .NET

<%@ Page Language="C#"%>
<%@ Import Namespace = "System.Web" %>
<%@ Import Namespace = "System.Web.Security" %>
<%@ Import Namespace = "System.Security.Principal" %>
<%@ Import Namespace = "System.Runtime.InteropServices" %>

下面介绍ASP.NET应用程序中使用身份模拟的一个简单应用。例如有一个ASP.NET应用程序要检查服务器端某个文件是否存在，相应的程序代码为:

bool a = File.Exists("D://Share//test.txt"); 

缺省情况下该ASP.NET应用程序以ASPNET帐号运行。为了安全起见，ASPNET这个帐号并没有服务器端D:/Share/这个目录的访问权限。在不使用身份模拟的情况下，由于ASP.NET应用程序不具有访问该目录的权限，无论文件是否存在，File.Exists的返回值将永远是false。为了解决这个问题，可以另建一个用户帐号：FileExist，并赋予该帐号D:/Share/目录的访问权限。然后在该应用程序的Web.config文件的标记中指定具体的用户帐号：

来执行该程序。

---

更多信息

请访问以下链接获取更多信息：

1． INFO: Implementing Impersonation in an ASP.NET Application

http://support.microsoft.com/default.aspx?scid=kb;en-us;Q306158&SD=MSKB

2． INFO: ASP.NET Security Overview

http://support.microsoft.com/default.aspx?scid=kb;en-us;Q306590

3． ASP.NET Web Application Security

http://msdn.microsoft.com/library/default.asp?url=/library/en-us/cpguide/html/cpconaspnetwebapplicationsecurity.asp

---

作者：黄雪斌

 

为什么impersonate的例子在我机器上不行
Posted: 31 May 2004 09:39 AM 我知道原因了

The LogonUser API has been available and documented since Windows NT 3.51, and is commonly used to verify user credentials. This API is available on Windows NT, Windows 2000, and Windows XP. Unfortunately, there are some restrictions on using LogonUser that are not always convenient to satisfy.

The first and biggest of these restrictions is that on Windows NT and Windows 2000, the process that is calling LogonUser must have the SE_TCB_NAME privilege (in User Manager, this is the "Act as part of the Operating System" right).

不过我怎么设置"Act as part of the Operating System" right???