ServerXMLHTTP到底传递什么身份标识?

ServerXMLHTTP到底传递什么身份标识?

一．测试样码：

// 这个test.wav就是我们所要GET的资源：

_bstr_t bstrASFURL = "http://localhost/kbtester/test.wav";

 

MSXML2::IServerXMLHTTPRequestPtr pHttp = NULL;

              hr = pHttp.CreateInstance(__uuidof(MSXML2::ServerXMLHTTP));

 

              //MSXML2::IXMLHTTPRequestPtr pHttp = NULL;

              //pHttp.CreateInstance("MSXML2.XMLHTTP");

 

              //MSXML2::IXMLHTTPRequestPtr pHttp = NULL;

              //pHttp.CreateInstance("Microsoft.XMLHTTP");

 

              if(pHttp == NULL)

              {

                     return hr;

              }

 

        // 不传用户名和密码，那就是匿名访问:

              hr = pHttp->open(_bstr_t("GET"),

                             bstrASFURL,

                                   _variant_t((long)FALSE));

 

              if(hr != S_OK)

              {

                     return hr;

              }

 

              hr = pHttp->send();

              if(hr != S_OK)

              {

                    return hr;

              }

 

              if ((pHttp->status != 200) && (pHttp->status != 207))

              {

                     _bstr_t bstrStatus = pHttp->GetstatusText();

                     return S_FALSE;

              }

二．测试结果：

测试序号

设置细节

ServerXMLHTTP的Status

IIS虚拟目录的匿名访问

IIS虚拟目录的验证控制

NTFS安全

1

启用

启用Windows集成验证

只有某个非当前登录用户的域用户完全控制

401

2

启用

未启用Windows集成验证

只有某个非当前登录用户的域用户完全控制

401

3

启用

启用Windows集成验证

只有Administrator

(即当前进程的身份标识)完全控制

200

4

启用

未启用Windows集成验证

只有Administrator

(即当前进程的身份标识)完全控制

401

5

启用

启用Windows集成验证

只有

IUSer_MachineName

(Internet来宾账号)拥有读取及运行的权限

200

6

启用

未启用Windows集成验证

只有

IUSer_MachineName

(Internet来宾账号)拥有读取及运行的权限

200

7

未启用

启用Windows集成验证

只有Administrator

(即当前进程的身份标识)完全控制

200

 

8

启用

启用基本验证;

未启用Windows集成验证

只有Administrator

(即当前进程的身份标识)完全控制

401

9

启用

启用基本验证;

未启用Windows集成验证

只有

IUSer_MachineName

(Internet来宾账号)拥有读取及运行的权限

200

 

三．你认为这说明了什么：

如果不给SXH对象传递用户名密码，服务器端的IIS会帮它模拟出IUser_computername的身份标识。

现在我设置了test.wav所在的目录的NTFS文件系统权限中，其中只允许某个非当前登录用户的域用户访问。

 

（1）．对于IIS的虚拟目录没有启用集成 Windows验证这种情况：

    用ServerXMLHTTP或者Microsoft.XMLHTTP对象都会返回401错误！这个，我们可以理解，因为IUSR_computername账号通不过NTFS权限验证。

 

（2）．对于IIS的虚拟目录启用了集成 Windows验证这种情况：

因为启用了匿名访问，所以IIS会首先使用它来验证。

IIS会先检查test.wav的NTFS 文件和目录权限，查看是否允许 IUSR_computername 帐户访问该文件。

结果是ACL不允许IUser_computername访问。

所以IIS就会自己使用其他种类的验证方法，于是就启用了Windows集成验证。

（也就是说，IIS规定，集成验证仅在禁用匿名访问，或在 NTFS 权限要求用户通过有效 Windows 用户帐户、用户名和密码证明身份时进行。）

 

从试验1来看，集成验证最终也是需要通过NTFS权限的，否则仍然会失败。

问题是，为什么试验3却能够成功？那就说明这种情况NTFS权限都通过了。

那好，从试验1、3来看，最后集成验证时所使用的身份标识肯定不是IUser_computername账号！否则试验3能成功，试验1就没道理不成功。

所以，我推断集成验证时用的身份标识是当前登录用户！正因为如此，试验1才会失败。

 

那么，SXH对象是能够把进程的身份传递出去的了？试验7好像证明了这一点。

本文地址：http://com.8s8s.com/it/it2526.htm