c# - WindowsIdentity.Impersonate in ASP.NET 随机 "Invalid token for impersonation - it cannot be duplicated"

Question

我有一个 ASP.NET 应用程序，它要求用户使用基本身份验证使用他们的域帐户登录。用户可以进行选择，然后按下按钮。

在按下按钮后的某个时刻是这段代码:WindowsIdentity.Impersonate(userIdentity.Token)。 userIdentity 属于 WindowsIdentity 类型，并且之前设置为 (WindowsIdentity)User.Identity。

userIdentity 存储为 session 变量，我认为这是因为按下按钮后，包含此代码的页面通过 AJAX 调用。

当我点击这段代码时，它大约有 2/3 的时间有效，但有 1/3 的时间，我得到这个异常:无效的模拟 token - 它不能被复制。我认为最让我头疼的是为什么它有时有效但其他时间无效？在某些 session 中，它会在失败前工作几次。在其他人身上，它会立即失败。

这是堆栈跟踪:

at System.Security.Principal.WindowsIdentity.CreateFromToken(IntPtr userToken)

at System.Security.Principal.WindowsIdentity..ctor(IntPtr userToken, String authType, Int32 isAuthenticated)

at System.Security.Principal.WindowsIdentity.Impersonate(IntPtr userToken)

at Resource_Booker.BLL.ReservationAgent.SubmitReservationRequest(Reservation reservation, Patron patron) in C:\dev\RoomRes\Resource Booker\BLL\ReservationAgent.cs:line 101

at Resource_Booker.Reserve.reserve_Click(Object sender, EventArgs e) in C:\dev\RoomRes\Resource Booker\Reserve.aspx.cs:line 474

at System.EventHandler.Invoke(Object sender, EventArgs e)

at System.Web.UI.WebControls.Button.RaisePostBackEvent(String eventArgument)

at System.Web.UI.Page.ProcessRequestMain(Boolean includeStagesBeforeAsyncPoint, Boolean includeStagesAfterAsyncPoint)

这里有一个混杂因素:我无法在我的本地 Windows 7 x64 工作站上重现这个问题——尽管我的身份验证是隐式传递的，因为我使用的是本地主机——或者在 Windows 2003 32 位 IIS 6.0 环境上。它只发生在非常普通的 Windows 2008 R2 环境中。所有这些环境都是域成员。

Answer 1

基本上您所看到的不是安全问题，因为登录 session 在 TCP 连接的生命周期内由 IIS 缓存，但 HTTP 偶尔会切断需要重新验证的 TCP 连接。这将无缝且不可见地发生(由浏览器处理)，但它会使 token 无效，因为登录 session 将在 TCP 连接结束时被销毁。

即为了@usr 的利益，它有时只起作用，因为登录 session 是相同的，所以 token 是相同的，所以存储在 session 中的 token 有效，因为它恰好是与 User.Identity 相同的实际 token 。这不是避免安全检查的方法，而是安全检查的实现细节。

您不应该在 session 中存储身份 - 这是不必要的，因为它是经过身份验证的连接。

只需每次使用 (WindowsIdentity)User.Identity，您的问题就会消失。