[WCF权限控制]模拟(Impersonation)与委托(Delegation)[上篇]
2011-07-03 15:00
561 查看
由于服务操作是在寄宿进程中执行,在默认的情况下,服务操作是否具有足够的权限访问某个资源(比如文件)决定于执行寄宿进程Windows帐号的权限设置,而与作为客户端的Windows帐号无关。在有多情况下,我们希望服务操作执行在基于客户端的安全上下文中执行,以解决执行服务进行的帐号权限不足的问题。这就涉及到一个重要的话题——模拟(Impersonation)与委托(Delegation)[实例程序源代码从这里下载]
主令牌(Primary Token):每一个进程都具有一个唯一的主令牌,进行通过主令牌被开启;
模拟令牌(Impersonation Token):在默认的情况下,当线程被开启的时候,所在进程的主令牌会自动附加到当前线程上,作为线程的安全上下文。而线程可以运行在另一个非主令牌的访问令牌下执行,而这个令牌被称为模拟令牌。而指定线程的模拟令牌的过程被称为模拟。
我们可以调用Win32函数LogonUser,通过输入Windows帐号、密码、域名以及认证相关信息创建一个访问令牌。LogonUser被调用的时候,会试图进行基于本机的登陆操作。访问令牌会在认证成功认证的情况下被创建并返回。LogonUser的定义如下,输入参数依次代表的含义分别是用户名、域名(可选参数)、密码(明文)、登录类型和登录提供者。而创建的访问令牌以输出操作的形式返回。关于LogonUser函数的详细说明,可以参考MSDN在线文档。
[/code]
当我们进行模拟而试图创建一个模拟令牌的时候,我们需要使用到另外一个重要的Win32函数DuplicateToken。顾名思义,该函数通过一个现有的令牌来“复制”一个新的令牌。DuplicateToken函数的定义如下面的代码片断所示。
[/code]
从上面给出的DuplicateToken函数的定义我们可以看出:除了传入现有的访问令牌作为输入参数之外,还具有一个表示模拟级别的ImpersonationLevel的参数。模拟级别是一个非常重要的概念,它表示被复制的模拟令牌可以被使用的程度和访问。模拟等级通过如下所示的SECURITY_IMPERSONATION_LEVEL枚举表示。
[/code]
四个枚举项,SecurityAnonymous、SecurityIdentification、SecurityImpersonation和SecurityDelegation分别代表如下四种模拟的等级。
匿名(Anonymous):无法获取有关客户端的标识信息,且无法模拟客户端;
识别(Identification):可以获取有关客户端的信息(如安全标识符和特权),但是无法模拟客户端;
模拟(Impersonation):可以在本地模拟客户端的安全上下文。,但无法在远程系统上模拟客户端;
委托(Delegation):可以在本地和远程系统上模拟客户端的安全上下文。
对于模拟级别,对于托管代码的应用编程接口中也具有一个匹配的枚举TokenImpersonationLevel。如下面的代码片断所示,除了上述的四个对应于具体模拟级别的枚举项之外,TokenImpersonationLevel还有一个额外的枚举值None,表示具体的模拟级别上为指定。
[/code]
[/code]
对应一个现有的WindowsIdentity对象,只要其访问令牌的模拟级别为Impersonation或者Delegation,我们就能调用Impersonate方法模拟这个身份。此外WindowsIdentity还提供了静态的Impersonate是我们可以直接根绝一个访问令牌实施身份模式。一旦Impersonate方法被调用,基于被模拟身份的安全上下文会自动附加到当前线程。Impersonate方法返回的是一个WindowsImpersonationContext对象。如果需要将安全上下文恢复到模拟之前的状态,可以调用WindowsImpersonationContext的Undo方法。而WindowsImpersonationContext实现了IDisposable接口,Undo方法实际上也会在Dispose方法中被调用。WindowsImpersonationContext定义如下。
[/code]
一般来说,只有某些特殊的操作(比如访问一个受权限控制的文件)才需要在被模拟的身份下执行。当这些操作执行完毕或者在执行过程中抛出异常,我们都需要恢复线程安全上下文到被模式之前的状态。所以正确的模拟编程应该采用如下的方式。
[/code]
或者
[/code]
有一点需要注意的是:无论WindowsIdentity对象的模拟级别是什么,调用Impersonate方法都不会抛出异常。但是,只有当模拟级别为Imperation或者Delegation的情况下,采用真正使用被模拟的身份进行安全资源的访问。
我们需要创建了两个本机的Windows帐户Foo和Bar(密码为Password)。然后你在某个公共的目录下(比如D:\盘)创建一个简单的文本(比如impersonationTest.txt)。然后赋予帐号Foo对该文件的读取权限,但拒绝帐号Bar读取该文件。
然后我们创建一个简单的控制台应用作为演示程序。在默认创建的Program类中,定义如下一个CreateWindowsIdentity静态方法。该方法通过输入用户名、密码和模拟级别创建相应的WindowsIdentity。在CreateWindowsIdentity方法内部实际上是直接调用了上面介绍的两个Win32函数LogonUser和DuplicateToken。
[/code]
然后我们定义如下一个静态的ReadFile方法。在这个方法中,我们根据传入的用户名和密码调用上述的CreateWindowsIdentity方法创建相应的WindowsIdentity。然后模拟该用户进行文件的读取。在成功读取和抛出异常的情况下分别输出相应的指示性文字。在Main方法中,分别传入传入账号Foo和Bar以及相应的密码对该方法进行调用。从输出的结果可以看出,在模拟帐号Foo时,文件被成功读取,而在模拟帐号Bar的时候却失败了。这和测试文件的ACL设置时一致的。
[/code]
输出结果(Jinnan-PC为我本机的机器名):
[/code]
目录:
一、从访问令牌(Access Token)说起
二、再谈WindowsIdentity
三、实例演示:通过身份模拟的方式读取文件
一、从访问令牌(Access Token)说起
二、再谈WindowsIdentity
三、实例演示:通过身份模拟的方式读取文件
一、从访问令牌(Access Token)说起
当我们以某个Windows帐号的名义成功登录Windows的时候,操作系统会创建一个访问令牌(Access Token)。访问令牌不仅仅包括登录用户身份相关信息,还包括该用户具有的权限信息,比如ACL(Access Control List)。当我们开启某个进程的时候,该访问令牌会自动附加到该进程上,作为其安全上下文重要的组成部分。我们也可以将访问令牌作为进程或者线程安全描述符的封装。Windows下的访问令牌主要具有如下两种形式。主令牌(Primary Token):每一个进程都具有一个唯一的主令牌,进行通过主令牌被开启;
模拟令牌(Impersonation Token):在默认的情况下,当线程被开启的时候,所在进程的主令牌会自动附加到当前线程上,作为线程的安全上下文。而线程可以运行在另一个非主令牌的访问令牌下执行,而这个令牌被称为模拟令牌。而指定线程的模拟令牌的过程被称为模拟。
我们可以调用Win32函数LogonUser,通过输入Windows帐号、密码、域名以及认证相关信息创建一个访问令牌。LogonUser被调用的时候,会试图进行基于本机的登陆操作。访问令牌会在认证成功认证的情况下被创建并返回。LogonUser的定义如下,输入参数依次代表的含义分别是用户名、域名(可选参数)、密码(明文)、登录类型和登录提供者。而创建的访问令牌以输出操作的形式返回。关于LogonUser函数的详细说明,可以参考MSDN在线文档。
[code] BOOL LogonUser(
__in LPTSTR lpszUsername,
__in_opt LPTSTR lpszDomain,
__in LPTSTR lpszPassword,
__in DWORD dwLogonType,
__in DWORD dwLogonProvider,
__out PHANDLE phToken
);[/code]
当我们进行模拟而试图创建一个模拟令牌的时候,我们需要使用到另外一个重要的Win32函数DuplicateToken。顾名思义,该函数通过一个现有的令牌来“复制”一个新的令牌。DuplicateToken函数的定义如下面的代码片断所示。
[code]
BOOL WINAPI DuplicateToken(
__in HANDLE ExistingTokenHandle,
__in SECURITY_IMPERSONATION_LEVEL ImpersonationLevel,
__out PHANDLE DuplicateTokenHandle
);[/code]
从上面给出的DuplicateToken函数的定义我们可以看出:除了传入现有的访问令牌作为输入参数之外,还具有一个表示模拟级别的ImpersonationLevel的参数。模拟级别是一个非常重要的概念,它表示被复制的模拟令牌可以被使用的程度和访问。模拟等级通过如下所示的SECURITY_IMPERSONATION_LEVEL枚举表示。
[code]
typedef enum _SECURITY_IMPERSONATION_LEVEL {
SecurityAnonymous,
SecurityIdentification,
SecurityImpersonation,
SecurityDelegation
} SECURITY_IMPERSONATION_LEVEL, *PSECURITY_IMPERSONATION_LEVEL;[/code]
四个枚举项,SecurityAnonymous、SecurityIdentification、SecurityImpersonation和SecurityDelegation分别代表如下四种模拟的等级。
匿名(Anonymous):无法获取有关客户端的标识信息,且无法模拟客户端;
识别(Identification):可以获取有关客户端的信息(如安全标识符和特权),但是无法模拟客户端;
模拟(Impersonation):可以在本地模拟客户端的安全上下文。,但无法在远程系统上模拟客户端;
委托(Delegation):可以在本地和远程系统上模拟客户端的安全上下文。
对于模拟级别,对于托管代码的应用编程接口中也具有一个匹配的枚举TokenImpersonationLevel。如下面的代码片断所示,除了上述的四个对应于具体模拟级别的枚举项之外,TokenImpersonationLevel还有一个额外的枚举值None,表示具体的模拟级别上为指定。
[code]
public enum TokenImpersonationLevel
{
None,
Anonymous,
Identification,
Impersonation,
Delegation
}[/code]
二、 再谈WindowsIdentity
关于模拟在托管代码的实现,我们不得不提我们之前已经介绍过的类型WindowsIdentity。从某种意义上讲,一个WindowsIdentity对象可以看成是对一个访问令牌的封装。WindowsIdentity直接为我们提供了模拟的功能。从下面给出的WindowsIdentity部分成员定义可以看到,它具有一个IntPtr类型的只读属性Token,实际上代表的就是我们上面介绍的访问令牌。而我们可以通过直接指定这个访问令牌创建一个WindowsIdentity对象。ImpersonationLevel表示访问令牌的模拟级别。[code]
public class WindowsIdentity : IIdentity,...
{
//其他成员
public WindowsIdentity(IntPtr userToken);
public virtual IntPtr Token { get; }
public TokenImpersonationLevel ImpersonationLevel { get; }
public virtual WindowsImpersonationContext Impersonate();
public static WindowsImpersonationContext Impersonate(IntPtr userToken);
}[/code]
对应一个现有的WindowsIdentity对象,只要其访问令牌的模拟级别为Impersonation或者Delegation,我们就能调用Impersonate方法模拟这个身份。此外WindowsIdentity还提供了静态的Impersonate是我们可以直接根绝一个访问令牌实施身份模式。一旦Impersonate方法被调用,基于被模拟身份的安全上下文会自动附加到当前线程。Impersonate方法返回的是一个WindowsImpersonationContext对象。如果需要将安全上下文恢复到模拟之前的状态,可以调用WindowsImpersonationContext的Undo方法。而WindowsImpersonationContext实现了IDisposable接口,Undo方法实际上也会在Dispose方法中被调用。WindowsImpersonationContext定义如下。
[code]
public class WindowsImpersonationContext : IDisposable
{
public void Dispose();
public void Undo();
}[/code]
一般来说,只有某些特殊的操作(比如访问一个受权限控制的文件)才需要在被模拟的身份下执行。当这些操作执行完毕或者在执行过程中抛出异常,我们都需要恢复线程安全上下文到被模式之前的状态。所以正确的模拟编程应该采用如下的方式。
[code]
WindowsImpersonationContext impersonationContext = identity.Impersonate();
try
{
//在模拟身份下执行的操作
}
catch (Exception ex)
{
//异常处理
}
finally
{
impersonationContext.Undo();
}[/code]
或者
[code]
using (WindowsImpersonationContext impersonationContext = identity.Impersonate())
{
//在模拟身份下执行的操作
}[/code]
有一点需要注意的是:无论WindowsIdentity对象的模拟级别是什么,调用Impersonate方法都不会抛出异常。但是,只有当模拟级别为Imperation或者Delegation的情况下,采用真正使用被模拟的身份进行安全资源的访问。
三、实例演示:通过身份模拟的方式读取文件
为了让读者对身份模式的作用和实现具有一个深刻的认识,我们来演示一个简单的实例。在这个实例中,我们将通过ACL设置一个文件的读取权限,然后演示针对不同Windows帐号进行模拟的情况下,是否能够正常读取该文件。我们需要创建了两个本机的Windows帐户Foo和Bar(密码为Password)。然后你在某个公共的目录下(比如D:\盘)创建一个简单的文本(比如impersonationTest.txt)。然后赋予帐号Foo对该文件的读取权限,但拒绝帐号Bar读取该文件。
然后我们创建一个简单的控制台应用作为演示程序。在默认创建的Program类中,定义如下一个CreateWindowsIdentity静态方法。该方法通过输入用户名、密码和模拟级别创建相应的WindowsIdentity。在CreateWindowsIdentity方法内部实际上是直接调用了上面介绍的两个Win32函数LogonUser和DuplicateToken。
[code]
class Program
{
//其他成员
public const int LOGON32_PROVIDER_DEFAULT = 0;
public const int LOGON32_LOGON_INTERACTIVE = 2;
[DllImport("advapi32.dll", SetLastError = true)]
public static extern bool LogonUser(string userName, string domainName, string password, int logonType, int loggonProvider, ref IntPtr token);
[DllImport("advapi32.dll", CharSet = CharSet.Auto, SetLastError = true)]
public extern static bool DuplicateToken(IntPtr existingToken, int imperonationLevel, ref IntPtr newToken);
public static WindowsIdentity CreateWindowsIdentity(string userName, string password, TokenImpersonationLevel tokenImpersonationLevel)
{
IntPtr token = IntPtr.Zero;
IntPtr duplicateToken = IntPtr.Zero;
if (LogonUser(userName, string.Empty, password, LOGON32_LOGON_INTERACTIVE, LOGON32_PROVIDER_DEFAULT, ref token))
{
int impersonationLevel;
switch (tokenImpersonationLevel)
{
case TokenImpersonationLevel.Anonymous:
{ impersonationLevel = 0; break; }
case TokenImpersonationLevel.Impersonation:
{ impersonationLevel = 2; break; }
case TokenImpersonationLevel.Delegation:
{ impersonationLevel = 3; break; }
default:
{ impersonationLevel = 1; break; }
}
if (DuplicateToken(token, impersonationLevel, ref duplicateToken))
{
return new WindowsIdentity(duplicateToken);
}
else
{
throw new InvalidOperationException(string.Format("创建模拟令牌失败 (错误代码: {0}) ", Marshal.GetLastWin32Error()));
}
}
else
{
throw new InvalidOperationException(string.Format("用户登录失败 (错误代码: {0}) ", Marshal.GetLastWin32Error()));
}
}
}[/code]
然后我们定义如下一个静态的ReadFile方法。在这个方法中,我们根据传入的用户名和密码调用上述的CreateWindowsIdentity方法创建相应的WindowsIdentity。然后模拟该用户进行文件的读取。在成功读取和抛出异常的情况下分别输出相应的指示性文字。在Main方法中,分别传入传入账号Foo和Bar以及相应的密码对该方法进行调用。从输出的结果可以看出,在模拟帐号Foo时,文件被成功读取,而在模拟帐号Bar的时候却失败了。这和测试文件的ACL设置时一致的。
[code]
public static void ReadFile(string userName, string password)
{
try
{
WindowsIdentity identity = CreateWindowsIdentity(userName, password, TokenImpersonationLevel.Impersonation);
using (WindowsImpersonationContext context = identity.Impersonate())
{
Console.WriteLine("当前用为:{0}", WindowsIdentity.GetCurrent().Name);
File.ReadAllText("D:\\impersonationTest.txt");
Console.WriteLine("成功读取文件内容...");
}
}
catch
{
Console.WriteLine("读取文件失败...");
}
}
static void Main(string[] args)
{
ReadFile("Foo", "Password");
ReadFile("Bar", "Password");
}[/code]
输出结果(Jinnan-PC为我本机的机器名):
[code]
当前用户为:Jinnan-PC\Foo
成功读取文件内容...
当前用户为:Jinnan-PC\Bar
读取文件失败...[/code]
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- [WCF权限控制]ASP.NET Roles授权[上篇]
- [WCF权限控制]基于Windows用户组的授权方式[上篇]
- [WCF权限控制]ASP.NET Roles授权[上篇]
- [WCF权限控制]从两个重要的概念谈起:Identity与Principal[上篇]
- [WCF权限控制]通过扩展自行实现服务授权[提供源码下载]
- WCF技术剖析之二十三:服务实例(Service Instance)生命周期如何控制[上篇](转)
- [WCF权限控制]基于Windows用户组的授权方式[下篇]
- [WCF权限控制]WCF自定义授权体系详解[实例篇]
- [WCF权限控制]ASP.NET Roles授权[下篇]
- WCF4.0 —— Routing Service 自定义Filter控制访问权限
- WCF技术剖析之二十三:服务实例(Service Instance)生命周期如何控制[上篇]
- [WCF权限控制]利用WCF自定义授权模式提供当前Principal[实例篇]
- [WCF权限控制]基于Windows用户组的授权方式
- WCF技术剖析之二十三:服务实例(Service Instance)生命周期如何控制[上篇]
- [WCF权限控制]通过扩展自行实现服务授权
- Asp.net下使用HttpModule模拟Filter,实现权限控制
- [Silverlight]Wcf Ria Services权限控制的实现
- [WCF权限控制]利用WCF自定义授权模式提供当前Principal[原理篇]
- 【GamingAnywhere源码分析之知识补充五】Windows模拟用户session完成存储权限控制
- Asp.net下使用HttpModule模拟Filter,实现权限控制