Проверка подлинности Windows между службами в одном домене без делегирования Kerberos

Question

У нас есть два приложения интрасети, оба размещены в одном домене, оба размещены в IIS, оба используют проверку подлинности Windows, но размещены на РАЗНЫХ серверах Windows 2008.

Моя цель - сделать так, чтобы веб-приложение ASP.net A вызывало службу B. Я также хочу, чтобы A передавала информацию об аутентификации вошедшего в систему пользователя B. B. 1003 *

Одна вещь, я хочуИзбегайте делегирования Kerberos из-за проблем с его настройкой, а также из-за проблем с безопасностью.

Не могли бы вы порекомендовать мне способы достижения моей цели?

Answer 1

Я не уверен, как вы думаете, вы можете безопасно аутентифицировать B из A без выполнения делегирования.

Если вас не беспокоит безопасное выполнение этого, вы можете просто передать имя пользователя в запросе и выдать себя за дальнюю сторону.

В качестве альтернативы вы можете вставить аутентифицированную информацию в токен (JWT, SAML и т. Д.), Подписать ее с общим секретом и включить в запрос. Затем сервер B может проверить его, используя общий секрет, и при необходимости выдать себя за другого. Это означает, что вам нужно убедиться, что оба сервера знают секрет, и выяснить, как сгенерировать токен.

Делегация - умный способ пойти сюда, хотя. Вам не нужно выяснять подражание или придумывать способ чеканить и проверять токены. Это в первую очередь определяется конфигурацией.