node.js客户端中的Windows集成身份验证
当使用node.js作为客户端时,是否可以使用Windows集成身份验证连接到服务器(例如,连接到IIS时)?
我对此的搜索仅显示将node.js用作服务器的结果。
问题答案:
2015更新: 现在有些模块实现了Windows集成的身份验证。 node-
sspi
使用SSPI(Windows安全API)来处理服务器端的事务,但不执行client
auth
。有几种客户端实现,例如http-
ntlm
,但是由于需要用户密码,因此它们并未真正集成-
它们不使用SSPI进行透明身份验证。
2019更新: 似乎可以使用kerberos库通过SSPI进行真正的Windows集成的HTTP身份验证(即,使用节点进程的令牌进行透明身份验证)。请参阅kerberos-
agent。显然,这使用的是Kerberos,而不是NTLM
/ Negotiate,因此,根据您的实际情况,此方法可能有效也可能无效。
“ Windows集成身份验证”是所谓的NTLM身份验证。现在,当您从IIS收到带有WWW-Authenticate包含的标头的HTTP
401时NTLM,您将很有趣地实现NTLM身份验证协议。引用本文档中有关NTLM身份验证协议的内容:
-
客户端从服务器请求受保护的资源:
GET /index.html HTTP/1.1 -
服务器以
401状态响应,指示客户端必须进行身份验证。NTLM通过WWW-Authenticate标头作为受支持的身份验证机制提供。通常,服务器此时会关闭连接:HTTP/1.1 401 UnauthorizedWWW-Authenticate: NTLM
Connection: close
请注意,如果Internet Explorer是第一个提供的机制,它将仅选择NTLM。这与RFC 2616不一致,RFC
2616指出客户端必须选择支持最强的身份验证方案。
-
客户端使用
Authorization包含Type 1消息参数的标头重新提交请求。Type 1消息经过Base-64编码以进行传输。从这一点开始,连接保持打开状态。关闭连接需要重新验证后续请求。这意味着服务器和客户端必须通过HTTP 1.0样式的“ Keep-Alive”标头或HTTP 1.1(默认情况下采用持久连接)来支持持久连接。相关的请求标头显示如下:GET /index.html HTTP/1.1Authorization: NTLM TlRMTVNTUAABAAAABzIAAAYABgArAAAACwALACAAAABXT1JLU1RBVElPTkRPTUFJTg==
-
与该服务器的应答
401包含状态类型2消息的WWW-Authenticate标题(再次,BASE-64编码)。如下所示。HTTP/1.1 401 UnauthorizedWWW-Authenticate: NTLM TlRMTVNTUAACAAAADAAMADAAAAABAoEAASNFZ4mrze8AAAAAAAAAAGIAYgA8AAAARABPAE0AQQBJAE4AAgAMAEQATwBNAEEASQBOAAEADABTAEUAUgBWAEUAUgAEABQAZABvAG0AYQBpAG4ALgBjAG8AbQADACIAcwBlAHIAdgBlAHIALgBkAG8AbQBhAGkAbgAuAGMAbwBtAAAAAAA=
-
客户端通过用
Authorization包含Base-64编码的Type 3消息的标头重新提交请求来响应Type 2 消息:GET /index.html HTTP/1.1Authorization: NTLM TlRMTVNTUAADAAAAGAAYAGoAAAAYABgAggAAAAwADABAAAAACAAIAEwAAAAWABYAVAAAAAAAAACaAAAAAQIAAEQATwBNAEEASQBOAHUAcwBlAHIAVwBPAFIASwBTAFQAQQBUAEkATwBOAMM3zVy9RPyXgqZnr21CfG3mfCDC0+d8ViWpjBwx6BhHRmspst9GgPOZWPuMITqcxg==
-
最后,服务器验证客户端的Type 3消息中的响应,并允许访问资源。
HTTP/1.1 200 OK
您将必须弄清楚如何回复Type
2消息的Challenge,其中用户密码是MD4哈希值,并用于创建DES密钥来加密挑战数据。
我不确定如何访问已登录用户的凭据数据,尽管我确定这将涉及编写本机C
++插件,以便您与必要的Windows
API进行通讯,但是我不确定将如何完成此操作。或者,我想您可以只要求输入用户密码。
或者,您可以通过为您处理NTLM混乱的软件来代理您的Node请求。
-
尝试在Tomcat 7(windows Server 2012)上归档集成的windows身份验证,以便Intranet用户在访问我的web应用程序时不需要输入他们的凭据。遵循tomcat手册:https://tomcat.apache.org/tomcat-7.0-doc/windows-auth-howto.html#Built-in\u Tomcat\u支持 在运行tomcat的计算机上。检
-
问题内容: 我想使用带有身份验证的其余api。我正在尝试包括标头,但没有得到任何回应。它抛出的输出通常是在没有身份验证时抛出的。谁能建议我一些解决方案。下面是我的代码 问题答案: 该请求模块将使您的生活更轻松。现在,它包括“ 基本身份验证”作为选项,因此您不必自己构建标题。 安装请求执行
-
授权服务器为进行客户端身份验证的目的,为Web应用客户端创建客户端凭据。授权服务器被鼓励考虑比客户端密码更强的客户端身份验证手段。Web应用程序客户端必须确保客户端密码和其他客户端凭据的机密性。 授权不得向本地应用程序或基于用户代理的应用客户端颁发客户端密码或其他客户端凭据用于客户端验证目的。授权服务器可以颁发客户端密码或其他凭据给专门的设备上特定安装的本地应用程序客户端。 当客户端身份验证不可用
-
在向令牌端点发起请求时,机密客户端或其他被颁发客户端凭据的客户端必须如2.3节所述与授权服务器进行身份验证。客户端身份验证用于: 实施刷新令牌和授权码到它们被颁发给的客户端的绑定。当授权码在不安全通道上向重定向端点传输时,或者 当重定向URI没有被完全注册时,客户端身份验证是关键的。 通过禁用客户端或者改变其凭据从被入侵的客户端恢复,从而防止攻击者滥用被盗的刷新令牌。改变单套客户端凭据显然快于撤销
-
如果客户端类型是机密的,客户端和授权服务器建立适合于授权服务器的安全性要求的客户端身份验证方法。授权服务器可以接受符合其安全要求的任何形式的客户端身份验证。 机密客户端通常颁发(或建立)一组客户端凭据用于与授权服务器进行身份验证(例如,密码、公/私钥对)。授权服务器可以与公共客户端建立客户端身份验证方法。然而,授权服务器不能依靠公共客户端身份验证达到识别客户端的目的。 客户端在每次请求中不能使用一
-
有时需要对某些网络资源(如Servlet、JSP等)进行访问权限验证,也就是说,有访问权限的用户才能访问该网络资源。进行访问权限验证的方法很多,但通过HTTP响应消息头的WWW-Authenticate字段进行访问权限的验证应该是众多权限验证方法中比较简单的一个。 通过HTTP响应消息头的WWW-Authenticate字段可以使浏览器出现一个验证对话框,访问者需要在这个对话框中输入用户名和密码,