ServerXMLHTTP到底传递什么身份标识?

一.测试样码:


// 这个test.wav就是我们所要GET的资源:

_bstr_t bstrASFURL = "http://localhost/kbtester/test.wav";

 

MSXML2::IServerXMLHTTPRequestPtr pHttp = NULL;

              hr = pHttp.CreateInstance(__uuidof(MSXML2::ServerXMLHTTP));

 

              //MSXML2::IXMLHTTPRequestPtr pHttp = NULL;

              //pHttp.CreateInstance("MSXML2.XMLHTTP");

 

              //MSXML2::IXMLHTTPRequestPtr pHttp = NULL;

              //pHttp.CreateInstance("Microsoft.XMLHTTP");

 

              if(pHttp == NULL)

              {

                     return hr;

              }

 

        // 不传用户名和密码,那就是匿名访问:

              hr = pHttp->open(_bstr_t("GET"),

                             bstrASFURL,

                                   _variant_t((long)FALSE));

 

              if(hr != S_OK)

              {

                     return hr;

              }

 

              hr = pHttp->send();

              if(hr != S_OK)

              {

                    return hr;

              }

 

              if ((pHttp->status != 200) && (pHttp->status != 207))

              {

                     _bstr_t bstrStatus = pHttp->GetstatusText();

                     return S_FALSE;

              }


二.测试结果:

测试序号

设置细节

ServerXMLHTTPStatus

IIS虚拟目录的匿名访问

IIS虚拟目录的验证控制

NTFS安全

1

启用

启用Windows集成验证

只有某个非当前登录用户的域用户完全控制

401

2

启用

未启用Windows集成验证

只有某个非当前登录用户的域用户完全控制

401

3

启用

启用Windows集成验证


只有Administrator

(即当前进程的身份标识)完全控制


200

4

启用

未启用Windows集成验证


只有Administrator

(即当前进程的身份标识)完全控制


401

5

启用

启用Windows集成验证


只有

IUSer_MachineName

(Internet来宾账号)拥有读取及运行的权限


200

6

启用

未启用Windows集成验证


只有

IUSer_MachineName

(Internet来宾账号)拥有读取及运行的权限


200

7

未启用

启用Windows集成验证


只有Administrator

(即当前进程的身份标识)完全控制


200

 

8

启用


启用基本验证;

未启用Windows集成验证



只有Administrator

(即当前进程的身份标识)完全控制


401

9

启用


启用基本验证;

未启用Windows集成验证



只有

IUSer_MachineName

(Internet来宾账号)拥有读取及运行的权限


200

 

三.你认为这说明了什么:

如果不给SXH对象传递用户名密码,服务器端的IIS会帮它模拟出IUser_computername的身份标识。

现在我设置了test.wav所在的目录的NTFS文件系统权限中,其中只允许某个非当前登录用户的域用户访问。

 

(1).对于IIS的虚拟目录没有启用集成 Windows验证这种情况:

    用ServerXMLHTTP或者Microsoft.XMLHTTP对象都会返回401错误!这个,我们可以理解,因为IUSR_computername账号通不过NTFS权限验证。

 

(2).对于IIS的虚拟目录启用了集成 Windows验证这种情况:

因为启用了匿名访问,所以IIS会首先使用它来验证。

IIS会先检查test.wav的NTFS 文件和目录权限,查看是否允许 IUSR_computername 帐户访问该文件。

结果是ACL不允许IUser_computername访问。

所以IIS就会自己使用其他种类的验证方法,于是就启用了Windows集成验证。

(也就是说,IIS规定,集成验证仅在禁用匿名访问,或在 NTFS 权限要求用户通过有效 Windows 用户帐户、用户名和密码证明身份时进行。)

 

从试验1来看,集成验证最终也是需要通过NTFS权限的,否则仍然会失败。

问题是,为什么试验3却能够成功?那就说明这种情况NTFS权限都通过了。

那好,从试验1、3来看,最后集成验证时所使用的身份标识肯定不是IUser_computername账号!否则试验3能成功,试验1就没道理不成功。

所以,我推断集成验证时用的身份标识是当前登录用户!正因为如此,试验1才会失败。

 

那么,SXH对象是能够把进程的身份传递出去的了?试验7好像证明了这一点。