我没有使用任何内置的身份验证机制,只是构建了一个需要登录的简单 Intranet 站点。
但我被要求检索用户的当前 Windows 登录名,并使用此信息对他进行身份验证。
从我的盒子中读取 Request.ServerVariables("LOGON_USER") 信息时,一切正常。但是当应用程序在我的服务器上使用 IIS 运行时,此值始终为空。
有什么想法吗?
【问题讨论】:
<authentication mode="Windows"/>。您不希望他们看到 any 登录机制,但仍然能够基于登录对他们进行身份验证?如果可能的话,那将是一个安全漏洞。
标签: asp.net
为了找出用户是谁,您需要对他们进行身份验证。这就是身份验证的定义。
更改您的 web.config 以包括:
<authentication mode="Windows"/>
在 system.web 元素内。这将使用 Windows 身份验证,即。用户通过您的内部 Windows 域控制器进行身份验证,而无需输入用户名 + 密码,使用基于 Windows 的安全性。这非常适合基于 Intranet 的 Web 应用程序。因此,如果您目前正在这样做,那么您可以取消基于用户名 + 密码的登录。
参考:How to Use Windows Authentication in ASP.NET 和:Explained: Windows Authentication in ASP.NET 以获得更多深度
如果您的意图是根据用户的 Windows 帐户自动限制对网络资源的访问,您可能需要考虑使用模拟,这意味着 ASP.NET 就像在用户的 Windows 帐户的上下文中运行一样,并且与该帐户关联的所有用户权限都会有效地传递给您的 ASP.NET 应用程序。
顺便说一句,我认为 Request.ServerVariables("LOGON_USER") 是旧的 ASP 经典方式。请改用 HttpContext.Current.User.Identity.UserName。
【讨论】: