- android - RelativeLayout 背景可绘制重叠内容
- android - 如何链接 cpufeatures lib 以获取 native android 库?
- java - OnItemClickListener 不起作用,但 OnLongItemClickListener 在自定义 ListView 中起作用
- java - Android 文件转字符串
Windows SSPI API是 Windows 安全服务的一个接口(interface),允许您相互验证客户端和服务器。 API 的主要用途之一是提供 Windows 集成身份验证,也称为单点登录 - 应用程序能够通过使用用户登录时的凭据自动向服务器验证用户身份。
这个过程的正常流程:
AcquireCredentialsHandle()
获取用户登录时创建的现有凭据的句柄。AcquireCredentialsHandle()
返回的句柄参与服务器的 SSPI 身份验证周期,使用 InitializeSecurityContext()
API。InitializeSecurityContext()
(客户端)和 AcceptSecurityContext()
交换不透明的字节数组(“ token ”) (服务器端)用于验证彼此 token 并继续身份验证周期的 API。当使用 API 作为单点登录的一部分时,这是此过程的正常流程。
AcquireCredentialsHandle()
的签名是:
SECURITY_STATUS SEC_Entry AcquireCredentialsHandle(
_In_ SEC_CHAR *pszPrincipal,
_In_ SEC_CHAR *pszPackage,
_In_ ULONG fCredentialUse,
_In_ PLUID pvLogonID,
_In_ PVOID pAuthData,
_In_ SEC_GET_KEY_FN pGetKeyFn,
_In_ PVOID pvGetKeyArgument,
_Out_ PCredHandle phCredential,
_Out_ PTimeStamp ptsExpiry
);
在上述典型的 Windows 集成身份验证案例中使用时,通常不提供 pAuthData
参数 - 而是提供空引用。
我希望能够以直接向其提供用户名和密码的方式使用 AcquireCredentialsHandle()
。它似乎可以处理这个问题,因为 pAuthData
参数(上面为 null)可以是对 SEC_WINNT_AUTH_IDENTITY
的引用结构,允许您直接指定用户名和密码。
我尝试以这种方式调用 AcquireCredentialsHandle()
,为其提供一个包含我的用户名和密码的完整 SEC_WINNT_AUTH_IDENTITY
结构。但是,每次我调用它时,我都会返回成功,即使我使用虚构的用户名或密码也是如此。作为健全性检查,我尝试使用相同的凭据调用 LogonUser()
,结果如预期的那样成功或失败,具体取决于我是否为其提供了有效的用户名/密码组合。
我做错了什么? 为什么即使凭据完全不正确,AcquireCredentialsHandle()
也总是返回成功?
下面显示了我用来调用 AcquireCredentialsHandle()
的代码的基础知识:
public class SuppliedCredential : Credential
{
public SuppliedCredential( string securityPackage, CredentialUse use, string username, string domain, string password ) :
base( securityPackage )
{
Init( use, username, domain, password );
}
private void Init( CredentialUse use, string username, string domain, string password )
{
// Copy off for the call, since this.SecurityPackage is a property.
string packageName = this.SecurityPackage;
TimeStamp rawExpiry = new TimeStamp();
SecurityStatus status = SecurityStatus.InternalError;
AuthIdentity auth = new AuthIdentity();
auth.User = username;
auth.UserLength = username.Length;
auth.Domain = domain;
auth.DomainLength = domain.Length;
auth.Password = password;
auth.PasswordLength = password.Length;
auth.Flags = 0x2; // unicode
this.Handle = new SafeCredentialHandle();
RuntimeHelpers.PrepareConstrainedRegions();
try { }
finally
{
status = CredentialNativeMethods.AcquireCredentialsHandle_2(
"",
packageName,
use,
IntPtr.Zero,
ref auth,
IntPtr.Zero,
IntPtr.Zero,
ref this.Handle.rawHandle,
ref rawExpiry
);
}
if( status != SecurityStatus.OK )
{
throw new SSPIException( "Failed to call AcquireCredentialHandle", status );
}
this.Expiry = rawExpiry.ToDateTime();
}
}
...
[StructLayout( LayoutKind.Sequential )]
public struct AuthIdentity
{
[MarshalAs(UnmanagedType.LPWStr)]
public string User;
public int UserLength;
[MarshalAs(UnmanagedType.LPWStr)]
public string Domain;
public int DomainLength;
[MarshalAs(UnmanagedType.LPWStr)]
public string Password;
public int PasswordLength;
public int Flags;
};
...
[ReliabilityContract( Consistency.WillNotCorruptState, Cer.MayFail )]
[DllImport( "Secur32.dll", EntryPoint = "AcquireCredentialsHandle", CharSet = CharSet.Unicode )]
internal static extern SecurityStatus AcquireCredentialsHandle_2(
string principleName,
string packageName,
CredentialUse credentialUse,
IntPtr loginId,
ref AuthIdentity packageData,
IntPtr getKeyFunc,
IntPtr getKeyData,
ref RawSspiHandle credentialHandle,
ref TimeStamp expiry
);
最佳答案
AcquireCredentialsHandle()
即使凭据是伪造的,也会返回 true;只有当客户端尝试调用 InitializeSecurityContext()
时,API 才会验证用户名和密码。 AcquireCredentialsHandle()
仅执行参数验证(指针值有效、结构填写正确、参数彼此有意义等)。由于我正确地提供了不正确的参数,AcquireCredentialsHandle()
没有在意。
...
总而言之,客户端应用程序参与 SSPI 身份验证的正常周期如下:
AcquireCredentialsHandle()
。InitializeSecurityContext()
,它返回一些 token 以发送到服务器。AcceptSecurityContext()
,返回一些 token 以发送回客户端。InitializeSecurityContext()
。在上述情况下,使用提供的 SEC_WINNT_AUTH_IDENTITY
结构调用 AcquireCredentialsHandle()
获得的凭据(依次填写有效的用户名、域和密码)是在客户端第一次调用 InitializeSecurityContext()
之前,在客户端将其第一个 token 发送到服务器之前进行验证。
在回答类似问题时,Dave Christiansen(微软员工?)posted the following在 2003 年 9 月 19 日的新闻组“microsoft.public.platformsdk.security”中:
How are you determining that the credentials are those of the localuser? SSPI is sometimes tricky this way. What package are you using(Sounds like NTLM, Kerberos, or Negotiate if you're usingSEC_WINNT_AUTH_IDENTITY)?
Note that AcquireCredentialsHandle will succeed even if thecredentials given are incorrect (e.g. wrong password), because itdoesn't actually use them until you call InitializeSecurityContext.
关于c# - 如何使用提供的凭据调用 SSPI 的 'AcquireCredentialsHandle'?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/45290882/
我开发了一个具有基本安全性的 Spring Boot 应用程序。我有两个具有相同路径和不同 http 方法的端点。当我使用默认密码/使用 application.yml 中给出的密码包含基本安全性时,
我的代码是这样的: 或者,像这样: 如果我首先列出 webm 源,Firefox 4 会播放它,但 Firefox 3.6 也会尝试播放它(但会失败,因为它不支持 webm)。
我希望提供一个泛型类型作为类型参数而不首先将其解析为具体类型。换句话说,我正在寻找一种方法来指定从基类继承时可以使用的类型映射函数。 示例(不正确的)语法,希望比我能解释得更好: abstract c
我在 .NET 中编写了一些桌面应用程序,它们既提供了用于正常使用的前端 GUI,也提供了用于其他需求(例如扩展、调度、自动化、高级使用等)的命令行界面。命名两个可执行文件的最佳做法是什么,因为它们构
我最近在这里思考了很多关于屏幕抓取以及它可能是一项什么样的任务。所以我提出以下问题。 作为网站开发人员,您是否会公开简单的 API 以防止用户抓取屏幕,例如 JSON 结果? 然后这些结果可以实现缓存
我正在为一个项目使用 Dojo 1.9,但我不明白 dojo.provide 的正确替代方案与传统风格相比,AMD 风格。我正在阅读 this文档页面。 很明显,这就是旧语法映射到新语法的方式: 旧
我正在开发一个 Angular 应用程序。当我使用 ng serve 正常运行它时,它运行没有任何错误.但是,当我运行 ng build --prod ,它给出了以下错误。 ERROR in Ille
我有一个 Mac 应用程序。在我的 Mac 应用程序中,我的屏幕之一有一个包含文本字段的 scrollView。在同一屏幕上,我有一个需要提供打印选项的按钮。可以打印文本字段的文本。打印按钮应调用 M
我已经成功地为普通媒体文件提供媒体文件,但是当我尝试提供管理媒体文件时,我失败了。请帮我找出问题所在,因为我已经尝试解决问题几个小时但没有运气(也一直在谷歌搜索并阅读有关提供静态文件的 django
我正在尝试创建一个简单的错误处理项目,它会在收到错误(例如 404、422 或 500)后为 JSON 提供错误数据。我使用来自 this 的代码网站,但它不适合我。 我实际上有这两个类: 基本 Co
假设我有一个名为 Number 的类(class),我打算对 Number 进行大量相等比较对象。我担心通用 Number::equals(Object o) 的“开销”(类比较等...)方法。在这种
假定以下情况: 对等方A只希望将音频流发送给对等方B 对等B只希望将视频流发送给对等A 从而, 与创建报价 var sdpConstraints = { “必填”:{ 'OfferToReceiveA
因为我有一些角度,所以我想检查角度模数 360°: double angle = 0; double expectedAngle = 360; angle.Should().B
这是我的程序中构建的 monad 堆栈: type Px a = ReaderT PConf (State PState) a 其中 PConf 和 PState 是保存应用程序的配置和状态的任意数据
因为我有一些角度,所以我想检查角度模数 360°: double angle = 0; double expectedAngle = 360; angle.Should().B
我有一个小程序需要以某些权限运行,这意味着加载时会显示一条警告消息。如果用户拒绝警告消息,我想重定向到错误页面并解释发生了什么。有什么办法可以做到这一点吗? 我研究过让计时器运行并在特定时间段后重定向
从我可以从 Firebase 文档中推断出,似乎需要服务器来提供静态内容(html和 javascript),所以你需要有一台托管机器和一个静态内容服务器在某处启动并运行,或某些服务托管静态站点。 对
关闭。这个问题是opinion-based 。目前不接受答案。 想要改进这个问题吗?更新问题,以便 editing this post 可以用事实和引文来回答它。 . 已关闭 3 年前。 Improv
我的项目根目录的静态文件夹中有一个文本文件。 我想提供它,所以我创建了: @csrf_exempt def display_text(request): content = retur
我目前正在研究指针,为了进一步理解我正在尝试使用指针将两个数值数组连接成一个。代码如下所示。 #include void concat(int **pa,int **pb,int **pc) {
我是一名优秀的程序员,十分优秀!