node.js - node.js 客户端中的 Windows 集成身份验证

Question

当使用 node.js 作为客户端时，是否可以使用 Windows 集成身份验证连接到服务器(例如连接到 IIS 时)？

我对此的搜索只出现了 node.js 用作服务器的结果。

Answer 1

2015 年更新:现在有一些模块实现了 Windows 集成身份验证。 node-sspi使用 SSPI(Windows 安全 API)来处理服务器端的事情，但是 does not do client auth .有several client implementations如http-ntlm ，但它们并没有真正集成，因为它们需要用户密码——它们不使用 SSPI 进行透明身份验证。

2019 年更新: 似乎可以使用 kerberos库使用 SSPI 执行真正的 Windows 集成 HTTP 身份验证(即，使用 Node 进程的 token 进行透明身份验证)。见 kerberos-agent .显然，这使用的是 Kerberos 而不是 NTLM/Negotiate，因此这可能会也可能不会根据您的具体情况来工作。

---

“Windows 集成身份验证”就是所谓的 NTLM 身份验证。当您从 IIS 收到带有 WWW-Authenticate header 的 HTTP 401 包含 NTLM 时，您现在可以享受实现 NTLM 身份验证协议(protocol)的乐趣了。引自 this document about the NTLM authentication protocol :

---

1. 客户端向服务器请求一个 protected 资源:

   GET /index.html HTTP/1.1
   

2. 服务器以 401 状态响应，表示客户端必须进行身份验证。 NTLM 通过 WWW-Authenticate header 呈现为受支持的身份验证机制。通常，服务器此时会关闭连接:

   HTTP/1.1 401 Unauthorized
   WWW-Authenticate: NTLM
   Connection: close
   

   请注意，Internet Explorer 仅在它是提供的第一种机制时才会选择 NTLM；这与 RFC 2616 不一致，RFC 2616 规定客户端必须选择支持的最强身份验证方案。

3. 客户端使用包含 Type 1 message 的 Authorization header 重新提交请求范围。 Type 1 消息经过 Base-64 编码以进行传输。从现在开始，连接保持打开状态；关闭连接需要重新验证后续请求。这意味着服务器和客户端必须支持持久连接，通过 HTTP 1.0 样式的“Keep-Alive” header 或 HTTP 1.1(默认使用持久连接)。相关请求头显示如下:

   GET /index.html HTTP/1.1
   Authorization: NTLM TlRMTVNTUAABAAAABzIAAAYABgArAAAACwALACAAAABXT1JLU1RBVElPTkRPTUFJTg==
   

4. 服务器回复 401 状态，其中包含 Type 2 message在 WWW-Authenticate header 中(同样，Base-64 编码)。如下所示。

   HTTP/1.1 401 Unauthorized
   WWW-Authenticate: NTLM TlRMTVNTUAACAAAADAAMADAAAAABAoEAASNFZ4mrze8AAAAAAAAAAGIAYgA8AAAARABPAE0AQQBJAE4AAgAMAEQATwBNAEEASQBOAAEADABTAEUAUgBWAEUAUgAEABQAZABvAG0AYQBpAG4ALgBjAG8AbQADACIAcwBlAHIAdgBlAHIALgBkAG8AbQBhAGkAbgAuAGMAbwBtAAAAAAA=
   

5. 客户端通过重新提交请求来响应类型 2 消息，并使用包含 Base-64 编码 Type 3 message 的 Authorization header :

   GET /index.html HTTP/1.1
   Authorization: NTLM TlRMTVNTUAADAAAAGAAYAGoAAAAYABgAggAAAAwADABAAAAACAAIAEwAAAAWABYAVAAAAAAAAACaAAAAAQIAAEQATwBNAEEASQBOAHUAcwBlAHIAVwBPAFIASwBTAFQAQQBUAEkATwBOAMM3zVy9RPyXgqZnr21CfG3mfCDC0+d8ViWpjBwx6BhHRmspst9GgPOZWPuMITqcxg==
   

6. 最后，服务器验证客户端类型 3 消息中的响应并允许访问资源。

    HTTP/1.1 200 OK
   

---

你必须弄清楚你将如何reply to the Type 2 message's challenge ，其中用户的密码经过 MD4 哈希处理，用于创建 DES key 来加密质询数据。

我不确定您将如何访问已登录用户的凭据数据，这将允许您完成此操作，但我确信这将涉及编写 native C++ addon。这样您就可以与必要的 Windows API 交谈。或者，我想您可以只询问用户的密码。

或者，您可以 proxy your Node requests through software that handles the NTLM mess for you .