避免客户端双跳的解决方案>网络服务> SQL服务器

Question

我的项目涉及用户从客户端连接到 Web 服务，然后将 Web 服务连接到 SQL Server。 Web 服务和 SQL Server 位于不同的计算机上。由于安全需求，我们在SQL Server中不能使用混合模式，只能使用Windows身份验证。

我们遇到了 Web 服务和 SQL Server 之间的“双跳”问题。我们正在使用 NTLM 身份验证，并且由于开销和学习曲线的原因，不想配置 Kerberos。我们也不希望 Web 服务和 SQL Server 在同一台计算机上。

据我了解，我们所有的要求都使得这种情况无法解决。然而，一位开发人员提出了这样的建议：

1）在 SSL 加密下将 Windows 用户名和密码从客户端发送到 Web 服务

身份验证的安全令牌

2）以某种方式将 Windows 用户名和密码转换为可以由 SQL Server进行 打个比方，听起来我们在连接到 SQL Server 时会在 C# 代码中执行 RUNAS。 Web 服务不会进行身份验证，只能通过 SQL Server 进行身份验证。

我的问题：

1）建议的解决方案可行吗？

2）如果是的话，会怎样做？

3）有任何网络资源可以帮助我了解如何做到这一点吗？

Answer 1

不，这是不可能的。客户端进程无法访问用户密码，因此无法将其发送到 Web 服务层。客户端必须明确询问用户其密码。 如果客户端进程有密码并且愿意将其发送到 Web 服务，那么理论上，Web 服务可以为该用户/密码创建一个令牌（使用 LogonUser），然后使用该令牌连接到 SQL Server。这个所谓的解决方案充满了不值得讨论的多个安全问题。如果您的团队坚持这样做，请创建一个网络服务来执行此操作，要求团队成员连接到它，一旦您掌握了他的凭据（他将向您的服务发送他的密码，还记得吗？ ）连接到交换服务器并向首席执行官发送一封邮件，其中包含文本“解雇我，我是个白痴”。或者更改他在HR的直接存款银行和账户。发挥你的想象力......我希望现在你能更清楚为什么沿着你建议的道路走下去是一个非常糟糕的主意。

只需使用 Kerberos。

顺便说一句，如果您由于政府监管而需要对后端进行身份验证，请记住身份验证和审核始终带有“不可否认性” ' 的要求，并将密码发送到 Web 服务，以便它对您进行身份验证，这明显违背了该要求，因为 Web 服务可以伪装成用户执行任何它想要的操作。这就是 Kerberos 委派是约束委派。

Answer 2

这是不可能的。想想看，如果应用程序能够简单地以这种方式生成安全令牌，那会有什么好处呢？您需要 Kerberos 来解决这个问题。

编辑：同样，runas 类比不适用于客户端尝试连续验证两个系统的情况，因为 runas 仅需要单跳，即使您切换用户也是如此。