如何防止某人覆蓋獲取Windows身份驗證並使用用戶名進行wcf調用的代碼?
[英]How to prevent someone from overriding the code that grabs the windows authentication and uses the username to make wcf calls?
問題描述
基本上,如果您使用WindowsAuthentication來獲取用戶名,將其存儲在變量中,然后將其傳遞給您使用的任何服務,那么如何阻止某人入侵您的代碼並傳遞另一個用戶名?
在客戶端上,您可以檢查IsAuthenticated,但是之后,它只能讓您獲取Windows用戶名,而不是Windows密碼。
有什么方法可以只通過身份驗證對象本身而不讓其被黑客入侵嗎? 否則,我可能不得不切換回不使用Windows身份驗證作為身份驗證,並且使用db表自定義滾動用戶/密碼。
1 個解決方案
解決方案1
1 2011-11-11 22:15:19
由於“ NTLM一跳”行為,您無法在服務器外部傳遞用戶的憑據。 您可能可以配置Kerberos身份驗證,以處理需要前端和后端服務器之間的用戶憑據流時的情況。
另一種選擇是在服務器之間建立信任(即帶有客戶端證書的HTTPS),以便后端服務器能夠信任來自您服務器的用戶名(因為它將是唯一具有正確客戶端證書的用戶名)。 您將無法模擬后端服務器上的用戶,因為您將只有一個名稱。
如何在WCF服務上使用Windows身份驗證訪問服務器端的用戶名?
[英]How do I access username on the server side using Windows authentication on a WCF service?
具有Windows身份驗證的WCF服務將引發異常“未定義用戶名”,即使已定義
[英]WCF service with Windows authentication throws exception “Username not defined” even if it is defined
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.