我可以构建一个允许匿名访问但根据用户 ID 模拟用户权限的 .net Web 服务吗？

Question

我在 IBM WAS 服务器 (Windows) 上有一个 Web 应用程序。

在 WAS 应用程序中，用户可以浏览不同服务器上的文件。 此功能连接到 Web 服务，以便从网络路径检索文件列表。

Web 服务是使用 .net 构建的，驻留在与文件服务器位于同一域中的单独服务器上。

WAS 应用服务请求将用户的 ID 作为调用的一部分发送。

有没有办法获取传递给 Web 服务的用户 ID，并根据 Windows 安全性限制该用户只能访问他们有权访问的文件/文件夹？

据我所知，除非 WAS 应用程序能够以登录用户的身份将请求发送到 Web 服务，否则这是不可能的。

那么，我的第二个问题是，是否可以将 Windows 用户凭据从 WAS 应用程序传递到 Web 服务？

我不太熟悉 Windows 身份验证和模拟，而且对 WAS 及其如何处理安全性知之甚少，因此我希望了解这是否可行以及可以从哪里开始。

Answer 1

假设您有 Active Directory 设置，我能想到的 WAS 服务器发送访问它的用户凭据的唯一方法是 DC 识别 WAS 服务（即运行 WAS 应用程序的帐户）进行委派。 我们在这里（某种程度上）遇到了这个问题。 我们使用 AD 帐户来运行 IIS 应用程序池，然后该 AD 帐户需要能够根据 AD 验证用户并连接到 SQL Server。

我们的修复方法是为运行 IIS 应用程序池的用户注册服务进程名称 (SPN)。 这允许用户帐户根据 AD 对用户进行身份验证，因为 AD 会将其识别为服务。 然后，您可以遵循传统的 .NET 模拟规则来传递凭据。 很抱歉我无法提供更具体的信息，但我希望这至少能为您指明正确的方向。

请参阅：http://technet.microsoft.com/en-us/library/ cc773257.aspx

Answer 2

以下是了解 .NET 的匿名访问和模拟的链接：匿名访问和模拟

Answer 3

不可以。您可以创建身份令牌，但为了进行访问检查，您需要一个模拟令牌，并且只能通过提供密码或通过受信任的委派帐户进行委派来创建此类令牌，​​而该帐户又提供了密码（或足够的密码）证明原始身份拥有密码，即 AD 为其担保）。

您需要做的是让 WAS 服务器模拟调用者，然后在模拟下调用您的服务。 运行 WAS 的帐户必须配置为允许约束委派。