ฉันมีเว็บแอปพลิเคชั่น (โฮสต์ใน IIS) ที่พูดคุยกับบริการของ Windows บริการ Windows กำลังใช้ ASP.Net MVC Web API (โฮสต์ด้วยตนเอง) และสามารถสื่อสารกับผ่าน http โดยใช้ JSON แอปพลิเคชันเว็บได้รับการกำหนดค่าให้ทำการแอบอ้างเป็นแนวคิดที่ว่าผู้ใช้ที่ทำการร้องขอไปยังเว็บแอปพลิเคชันควรเป็นผู้ใช้ที่เว็บแอปพลิเคชันใช้ในการร้องขอบริการ โครงสร้างมีลักษณะดังนี้:

_{(ผู้ใช้ที่เน้นด้วยสีแดงคือผู้ใช้ที่ถูกอ้างถึงในตัวอย่างด้านล่าง)}

เว็บแอปพลิเคชันส่งคำขอไปยังบริการ Windows โดยใช้HttpClient:

var httpClient = new HttpClient(new HttpClientHandler() 
                      {
                          UseDefaultCredentials = true
                      });
httpClient.GetStringAsync("http://localhost/some/endpoint/");

สิ่งนี้ทำให้การร้องขอไปยังบริการ Windows แต่ไม่ผ่านข้อมูลประจำตัวอย่างถูกต้อง (บริการรายงานผู้ใช้เป็นIIS APPPOOL\ASP.NET 4.0) นี้ไม่ได้เป็นสิ่งที่ฉันต้องการให้เกิดขึ้น

ถ้าฉันเปลี่ยนรหัสข้างต้นเพื่อใช้WebClientแทนข้อมูลประจำตัวของผู้ใช้จะถูกส่งผ่านอย่างถูกต้อง:

WebClient c = new WebClient
                   {
                       UseDefaultCredentials = true
                   };
c.DownloadStringAsync(new Uri("http://localhost/some/endpoint/"));

ด้วยรหัสด้านบนบริการรายงานผู้ใช้เป็นผู้ใช้ที่ร้องขอไปยังเว็บแอปพลิเคชัน

ฉันทำอะไรผิดกับการHttpClientใช้งานที่ทำให้ไม่ผ่านข้อมูลประจำตัวอย่างถูกต้อง (หรือเป็นจุดบกพร่องด้วยHttpClient)

_{เหตุผลที่ฉันต้องการใช้HttpClientคือมี async API ที่ทำงานได้ดีกับTasks ในขณะที่WebClientasyc API ของต้องจัดการกับเหตุการณ์}

ฉันก็มีปัญหาเดียวกันนี้เช่นกัน ฉันพัฒนาโซลูชันแบบซิงโครนัสด้วยการวิจัยที่ทำโดย @tpeczek ในบทความ SO ต่อไปนี้: ไม่สามารถตรวจสอบสิทธิ์กับบริการ ASP.NET Web Api ด้วย HttpClient

โซลูชันของฉันใช้ a WebClientซึ่งตามที่คุณจดไว้อย่างถูกต้องผ่านการรับรองโดยไม่มีปัญหา เหตุผลที่HttpClientไม่ทำงานเป็นเพราะความปลอดภัยของ Windows ปิดการใช้งานความสามารถในการสร้างหัวข้อใหม่ภายใต้บัญชีปลอม (ดูบทความดังกล่าวข้างต้น) HttpClientสร้างหัวข้อใหม่ผ่านโรงงานงานจึงก่อให้เกิดข้อผิดพลาด WebClientในอีกทางหนึ่งวิ่งพร้อมกันในหัวข้อเดียวกันจึงข้ามกฎและส่งต่อข้อมูลประจำตัว

ถึงแม้ว่ารหัสจะทำงานได้ แต่ข้อเสียคือมันจะไม่ทำงานแบบ async

var wi = (System.Security.Principal.WindowsIdentity)HttpContext.Current.User.Identity;

var wic = wi.Impersonate();
try
{
    var data = JsonConvert.SerializeObject(new
    {
        Property1 = 1,
        Property2 = "blah"
    });

    using (var client = new WebClient { UseDefaultCredentials = true })
    {
        client.Headers.Add(HttpRequestHeader.ContentType, "application/json; charset=utf-8");
        client.UploadData("http://url/api/controller", "POST", Encoding.UTF8.GetBytes(data));
    }
}
catch (Exception exc)
{
    // handle exception
}
finally
{
    wic.Undo();
}

หมายเหตุ:ต้องใช้แพคเกจ NuGet: Newtonsoft.Json ซึ่งใช้ JSAP serializer WebAPI เดียวกัน

คุณสามารถกำหนดค่าHttpClientให้ส่งข้อมูลรับรองโดยอัตโนมัติดังนี้:

var myClient = new HttpClient(new HttpClientHandler() { UseDefaultCredentials = true });

สิ่งที่คุณพยายามทำคือให้ NTLM ส่งต่อข้อมูลประจำตัวไปยังเซิร์ฟเวอร์ถัดไปซึ่งไม่สามารถทำได้ - สามารถทำเลียนแบบได้ซึ่งให้สิทธิ์การเข้าถึงทรัพยากรท้องถิ่นเท่านั้น มันจะไม่ยอมให้คุณข้ามขอบเขตของเครื่องจักร การรับรองความถูกต้อง Kerberos สนับสนุนการมอบหมาย (สิ่งที่คุณต้องการ) โดยใช้บัตรและสามารถส่งต่อตั๋วได้เมื่อเซิร์ฟเวอร์และแอปพลิเคชันทั้งหมดในเครือข่ายได้รับการกำหนดค่าอย่างถูกต้องและ Kerberos ตั้งค่าอย่างถูกต้องบนโดเมน ดังนั้นในระยะสั้นคุณต้องเปลี่ยนจากการใช้ NTLM เป็น Kerberos

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับตัวเลือกการรับรองความถูกต้องของ Windows ที่มีให้คุณและวิธีการทำงานเริ่มต้นที่: http://msdn.microsoft.com/en-us/library/ff647076.aspx

ตกลงดังนั้นขอขอบคุณผู้มีส่วนร่วมทั้งหมดข้างต้น ฉันใช้. NET 4.6 และเราก็มีปัญหาเดียวกัน ฉันใช้การดีบักเวลาSystem.Net.HttpโดยเฉพาะHttpClientHandlerและพบสิ่งต่อไปนี้:

    if (ExecutionContext.IsFlowSuppressed())
    {
      IWebProxy webProxy = (IWebProxy) null;
      if (this.useProxy)
        webProxy = this.proxy ?? WebRequest.DefaultWebProxy;
      if (this.UseDefaultCredentials || this.Credentials != null || webProxy != null && webProxy.Credentials != null)
        this.SafeCaptureIdenity(state);
    }

ดังนั้นหลังจากประเมินว่าสิ่งที่ExecutionContext.IsFlowSuppressed()อาจเป็นตัวการฉันได้ใส่รหัสการเลียนแบบของเราดังนี้:

using (((WindowsIdentity)ExecutionContext.Current.Identity).Impersonate())
using (System.Threading.ExecutionContext.SuppressFlow())
{
    // HttpClient code goes here!
}

โค้ดด้านในของSafeCaptureIdenity(ไม่ใช่การสะกดคำผิดของฉัน), คว้าWindowsIdentity.Current()ซึ่งเป็นตัวตนของเราเลียนแบบ สิ่งนี้กำลังถูกหยิบขึ้นมาเพราะตอนนี้เราหยุดการไหลของ เนื่องจากการใช้ / การกำจัดนี้ถูกรีเซ็ตหลังจากการเรียกใช้

ตอนนี้ดูเหมือนว่าจะทำงานให้เราว้า!

ใน .NET แกนฉันจัดการเพื่อให้ได้System.Net.Http.HttpClientด้วยUseDefaultCredentials = trueผ่านข้อมูลประจำตัวของ Windows WindowsIdentity.RunImpersonatedผู้ใช้รับรองความถูกต้องของการบริการด้านหลังโดยใช้

HttpClient client = new HttpClient(new HttpClientHandler { UseDefaultCredentials = true } );
HttpResponseMessage response = null;

if (identity is WindowsIdentity windowsIdentity)
{
    await WindowsIdentity.RunImpersonated(windowsIdentity.AccessToken, async () =>
    {
        var request = new HttpRequestMessage(HttpMethod.Get, url)
        response = await client.SendAsync(request);
    });
}

มันทำงานสำหรับฉันหลังจากที่ฉันตั้งค่าผู้ใช้ที่มีการเข้าถึงอินเทอร์เน็ตในบริการ Windows

ในรหัสของฉัน:

HttpClientHandler handler = new HttpClientHandler();
handler.Proxy = System.Net.WebRequest.DefaultWebProxy;
handler.Proxy.Credentials = System.Net.CredentialCache.DefaultNetworkCredentials;
.....
HttpClient httpClient = new HttpClient(handler)
.... 

ตกลงดังนั้นฉันจึงใช้รหัส Joshoun และทำให้เป็นรหัสทั่วไป ฉันไม่แน่ใจว่าฉันควรใช้รูปแบบซิงเกิลในคลาส SynchronousPost หรือไม่ บางทีคนที่มีความรู้มากกว่านี้สามารถช่วยได้

การดำเนินงาน

FileCategory x = new FileCategory { CategoryName = "Some Bs"};
SynchronousPost<FileCategory>test= new SynchronousPost<FileCategory>();
test.PostEntity(x, "/api/ApiFileCategories"); 

ชั้นเรียนทั่วไปที่นี่ คุณสามารถผ่านประเภทใดก็ได้

 public class SynchronousPost<T>where T :class
    {
        public SynchronousPost()
        {
            Client = new WebClient { UseDefaultCredentials = true };
        }

        public void PostEntity(T PostThis,string ApiControllerName)//The ApiController name should be "/api/MyName/"
        {
            //this just determines the root url. 
            Client.BaseAddress = string.Format(
         (
            System.Web.HttpContext.Current.Request.Url.Port != 80) ? "{0}://{1}:{2}" : "{0}://{1}",
            System.Web.HttpContext.Current.Request.Url.Scheme,
            System.Web.HttpContext.Current.Request.Url.Host,
            System.Web.HttpContext.Current.Request.Url.Port
           );
            Client.Headers.Add(HttpRequestHeader.ContentType, "application/json;charset=utf-8");
            Client.UploadData(
                                 ApiControllerName, "Post", 
                                 Encoding.UTF8.GetBytes
                                 (
                                    JsonConvert.SerializeObject(PostThis)
                                 )
                             );  
        }
        private WebClient Client  { get; set; }
    }

คลาส Api ของฉันเป็นแบบนี้ถ้าคุณอยากรู้

public class ApiFileCategoriesController : ApiBaseController
{
    public ApiFileCategoriesController(IMshIntranetUnitOfWork unitOfWork)
    {
        UnitOfWork = unitOfWork;
    }

    public IEnumerable<FileCategory> GetFiles()
    {
        return UnitOfWork.FileCategories.GetAll().OrderBy(x=>x.CategoryName);
    }
    public FileCategory GetFile(int id)
    {
        return UnitOfWork.FileCategories.GetById(id);
    }
    //Post api/ApileFileCategories

    public HttpResponseMessage Post(FileCategory fileCategory)
    {
        UnitOfWork.FileCategories.Add(fileCategory);
        UnitOfWork.Commit(); 
        return new HttpResponseMessage();
    }
}

ฉันใช้ ninject และรูปแบบ repo กับหน่วยงาน อย่างไรก็ตามคลาสทั่วไปข้างต้นช่วยได้จริงๆ