如何防止有人覆盖获取Windows身份验证并使用用户名进行WCF调用的代码？

Question

基本上，如果您使用 WindowsAuthentication 获取用户名，存储在变量中，然后将其传递给您使用的任何服务，那么如何阻止某人破解您的代码并传递另一个用户名呢？

在客户端，您可以检查 IsAuthenticated，但之后它只允许您获取 Windows 用户名，而不是 Windows 密码。

有没有什么方法可以只传递身份验证对象本身而不让它被黑客攻击？否则，我可能必须切换回不使用 Windows 身份验证作为我的身份验证，并使用数据库表自定义滚动用户/通行证。

Answer 1

由于“NTLM 一跳”行为，您无法将用户的凭据传递到服务器之外。您可以配置 Kerberos 身份验证来处理需要用户凭据在前端和后端服务器之间流动的情况。

另一种选择是在服务器之间建立信任（即带有客户端证书的 HTTPS），以便后端服务器能够信任来自您的服务器的用户名（因为它将是唯一具有正确客户端证书的用户名）。您将无法在后端服务器上模拟用户，因为您只有一个名称。