В чем разница между извлечением WindowsPrincipal из WindowsIdentity и Thread.CurrentPrincipal?
Я пытаюсь понять, почему безопасность на основе атрибутов не работает так, как я ожидал бы в WCF, и я подозреваю, что это может иметь какое-то отношение к следующему:
AppDomain.CurrentDomain.SetPrincipalPolicy(PrincipalPolicy.WindowsPrincipal);
var identity = new WindowsIdentity("ksarfo");
var principal = new WindowsPrincipal(identity);
Console.WriteLine("nChecking whether current user [" + identity.Name + "] is member of [" + groupName + "]");
Console.WriteLine(principal.IsInRole(groupName)); // returns true
principal = (WindowsPrincipal)Thread.CurrentPrincipal;
identity = (WindowsIdentity) principal.Identity;
Console.WriteLine("nChecking whether current user [" + identity.Name + "] is member of [" + groupName + "]");
Console.WriteLine(principal.IsInRole(groupName)); // returns false
Я не понимаю, почему результаты отличаются для вызова функции:
principal.IsInRole(groupName)
для полноты точка, в которой код фактически терпит неудачу, находится здесь:
PrincipalPermission(SecurityAction.Demand, Role = "PortfolioManager")]
помощь оценили.
3 ответов
возможно, это потому, что это не те же классы.
посмотрите на MSDN:
Итак, если есть классы разные, может быть, есть разные реализации.
изменить :
я попробовал этот код:
public class InGroup
{
public string Name { get; set; }
public bool Current { get; set; }
public bool Fixe { get; set; }
public bool Thread { get; set; }
}
WindowsIdentity current = System.Security.Principal.WindowsIdentity.GetCurrent();
WindowsPrincipal principalcurrent = new WindowsPrincipal(current);
WindowsIdentity fixe = new WindowsIdentity("JW2031");
WindowsPrincipal principalFixe = new WindowsPrincipal(fixe);
IPrincipal principalThread = System.Threading.Thread.CurrentPrincipal;
List<InGroup> ingroups = new List<InGroup>();
foreach (IdentityReference item in current.Groups)
{
IdentityReference reference = item.Translate(typeof(NTAccount));
Console.WriteLine("{0}\t{1}\t{2}\t{3}",
reference.Value,
principalcurrent.IsInRole(reference.Value),
principalFixe.IsInRole(reference.Value),
principalThread.IsInRole(reference.Value));
ingroups.Add(new InGroup()
{
Name = reference.Value,
Current = principalcurrent.IsInRole(reference.Value),
Fixe = principalFixe.IsInRole(reference.Value),
Thread = principalThread.IsInRole(reference.Value)
});
}
foreach (IdentityReference item in fixe.Groups)
{
IdentityReference reference = item.Translate(typeof(NTAccount));
if (ingroups.FindIndex(g => g.Name == reference.Value) == -1)
{
ingroups.Add(new InGroup()
{
Name = reference.Value,
Current = principalcurrent.IsInRole(reference.Value),
Fixe = principalFixe.IsInRole(reference.Value),
Thread = principalThread.IsInRole(reference.Value)
});
Console.WriteLine("{0}\t{1}\t{2}\t{3}",
reference.Value,
principalcurrent.IsInRole(reference.Value),
principalFixe.IsInRole(reference.Value),
principalThread.IsInRole(reference.Value));
}
}
а вот результат
Как видите, я не один со стороны разных. Поэтому (потому что я администратор моей локальной машины) я думаю, что WindowsIdentity.GetCurrent получит пользователя из AD, а WindowsPrincipal (WindowsIdentity ("")) получит пользователя с локальной машины.
в моем webapp у меня самая низкая авторизация возможно (я думаю). Но, у меня нет объяснений для consoleapp...
Это только предположения, но это связной.
Я считаю, что разница между зарегистрированным пользователем и учетной записью, запускающей приложение (поток). Они не всегда будут одинаковыми.
Я признаю, что это довольно уродливый обходной путь, но если все остальное не удастся, вы можете заменить:
principal = (WindowsPrincipal)Thread.CurrentPrincipal;
что-то вроде
principal = new WindowsPrincipal(new WindowsIdentity(Thread.CurrentPrincipal.Identity.Name));
если это не сработает, это, вероятно, по крайней мере, будет поучительно показать, где все идет не так.
но я не могу себе представить, что он потерпит неудачу, поскольку он делает то же самое (где это уместно), что и строка, которая работала: я предполагаю Thread.CurrentPrincipal.Identity.Name и "ksarfo".