проверка подлинности Windows Web API Несанкционированное - Несколько серверов

Question

Сценарий

У меня есть два приложения, работающие на разных серверах, в пределах одной и той же внутренней сети.

Сервер 1 содержит проект WebAPI MVC.

Сервер 2 содержит веб-приложение MVC, которая вызывает API на сервере 1.

Оба приложения работают с использованием проверки подлинности Windows.

Код отлично работает, когда я запускаю их локально, как через IIS, так и через Visual Studio.

При работе на сервере я получаю следующее сообщение об ошибке:

The remote server returned an error: (401) Unauthorized.

Ниже приводится запрос от скрипача.

GET http://server1/..../..../GetTest HTTP/1.1 
Host: server 1 
Connection: keep-alive 
Cache-Control: max-age=0 
Authorization: Negotiate YIIHIgYGKwYBBQUCoIIHFjCCBxK..... 
Upgrade-Insecure-Requests: 1 
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/52.0.2743.116 Safari/537.36 
Accept:  text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8 
Accept-Encoding: gzip, deflate, sdch 
Accept-Language: en-GB,en-US;q=0.8,en;q=0.6 
Cookie: ASP.NET_SessionId=gffyzdgub41op0diygy5lyv2 

Ниже АНИ код запроса

public string GetTest() 
{ 

    string sURL = "http://server2/.../api/test?value=JERONIMO"; 
    WebRequest wrGETURL = WebRequest.Create(sURL); 

    wrGETURL.Credentials = CredentialCache.DefaultCredentials; 
    var result = ""; 
    using (Stream objStream = wrGETURL.GetResponse().GetResponseStream()) { 
     using(StreamReader objReader = new StreamReader(objStream)) { 

      string sLine = ""; 
      int i = 0; 

      while (sLine != null) { 
       i++; 
       sLine = objReader.ReadLine(); 
       if (sLine != null) result += sLine; 
      } 
     } 
    } 

    return result; 
} 

Спасибо за помощь.

Answer 1

Это хорошо известная проблема при использовании Windows Authentication под названием double hop.

2 решения такой задачи:

• Изменить Application pool identity на Server2 от ApplicationPoolIdentity к учетной записи службы, чтобы нам разрешили делать звонки Server1. Это решение не распространяет контекст как пользовательский вызов api на Server2 (вы все равно можете это сделать, отправив параметризованную информацию в ваши методы Server1, чтобы делать вызовы для фильтрации данных).

• Внесите constrained delegation, чтобы разрешить Server2 переслать идентификатор пользователя на Server1; если у вас нет сильных требований безопасности для этого, я бы взял первый подход.