C# 自托管Owin端点中的客户端证书映射身份验证
是否可以(如果可以,如何配置)将自托管owin端点配置为与a/D一起使用客户端证书映射身份验证?IIS具有此功能,但到目前为止,我还没有找到用于自托管端点的等效功能 不过,我实现这一点的方法(请记住,这种方法可能不是100%万无一失的),是一个两步过程,使用authenticationSchemeSelectorDelegate和OWIN的组合 这将选择适当的AuthenticationScheme(允许通过包含证书的请求,否则将推迟到NTLM身份验证) 这将读取证书的内容并相应地填充“server.User”环境变量C# 自托管Owin端点中的客户端证书映射身份验证,c#,ssl,active-directory,owin,katana,C#,Ssl,Active Directory,Owin,Katana,是否可以(如果可以,如何配置)将自托管owin端点配置为与a/D一起使用客户端证书映射身份验证?IIS具有此功能,但到目前为止,我还没有找到用于自托管端点的等效功能 不过,我实现这一点的方法(请记住,这种方法可能不是100%万无一失的),是一个两步过程,使用authenticationSchemeSelectorDelegate和OWIN的组合 这将选择适当的AuthenticationScheme(允许通过包含证书的请求,否则将推迟到NTLM身份验证) 这将读取证书的内容并相应地填充“serv
公共类证书认证器
{
只读函数_appFunc;
公共证书认证器(Func appFunc)
{
_appFunc=appFunc;
}
公共任务调用(IDictionary环境)
{
//我们是否已通过身份验证(NTLM)
var user=environment[“server.user”]作为IPrincipal;
if(user!=null&&user.Identity.IsAuthenticated)返回_appFunc.Invoke(环境);
var context=environment[“System.Net.HttpListenerContext”]作为HttpListenerContext;
if(context==null)返回_appFunc.Invoke(环境);
var clientCertificate=context.Request.GetClientCertificate();
//从证书中解析出用户名
var identity=新的GenericPrincipal
(
新GenericEntity(用户名),新字符串[0]
);
环境[“server.User”]=标识;
}
}
没有更好的/标准化的方法吗?我还没有看到任何为此构建的标准组件。也就是说,应该可以稍微清理一下代码:
- 您不需要向下转换到HttpListenerContext来获取客户端证书。客户端证书应该已经在OWIN环境中的“ssl.ClientCertificate”下可用。看见您还需要检查ssl.ClientCertificateErrors,因为证书可能未通过所有验证检查
- 您不需要AuthenticationSchemeSelectorDelegate代码。您可以只设置listner.AuthenticationSchemes=NTLM | Anonymous。然后在证书中间件之后添加一个中间件,该中间件返回401 if server.User无效
public void Configuration(IAppBuilder appBuilder)
{
var listener = (HttpListener)appBuilder.Properties[typeof(HttpListener).FullName];
listener.AuthenticationSchemeSelectorDelegate += AuthenticationSchemeSelectorDelegate;
}
private AuthenticationSchemes AuthenticationSchemeSelectorDelegate(HttpListenerRequest httpRequest)
{
if (!httpRequest.IsSecureConnection) return AuthenticationSchemes.Ntlm;
var clientCert = httpRequest.GetClientCertificate();
if (clientCert == null) return AuthenticationSchemes.Ntlm;
else return AuthenticationSchemes.Anonymous;
}
public class CertificateAuthenticator
{
readonly Func<IDictionary<string, object>, Task> _appFunc;
public CertificateAuthenticator(Func<IDictionary<string, object>, Task> appFunc)
{
_appFunc = appFunc;
}
public Task Invoke(IDictionary<string, object> environment)
{
// Are we authenticated already (NTLM)
var user = environment["server.User"] as IPrincipal;
if (user != null && user.Identity.IsAuthenticated) return _appFunc.Invoke(environment);
var context = environment["System.Net.HttpListenerContext"] as HttpListenerContext;
if (context == null) return _appFunc.Invoke(environment);
var clientCertificate = context.Request.GetClientCertificate();
// Parse out username from certificate
var identity = new GenericPrincipal
(
new GenericIdentity(username), new string[0]
);
environment["server.User"] = identity;
}
}