开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

Windows身份验证User.Identity.Name的IdentityServer4委派为空

基础概念

Windows身份验证是一种基于Windows操作系统的身份验证机制，它允许用户在访问应用程序时使用其Windows账户凭证进行身份验证。User.Identity.Name是ASP.NET中的一个属性，用于获取当前已通过身份验证的用户的标识名称。

IdentityServer4是一个开源的身份验证和授权框架，它支持多种身份验证模式，包括OAuth 2.0、OpenID Connect等。在IdentityServer4中，委派（Delegation）是指将用户的身份验证信息从一个服务传递到另一个服务，以便进行进一步的身份验证或授权。

相关优势

安全性：Windows身份验证利用操作系统的安全机制，确保用户凭证的安全性。
便捷性：用户无需记住额外的用户名和密码，可以直接使用Windows账户登录。
灵活性：IdentityServer4提供了多种身份验证模式和配置选项，可以满足不同的应用需求。

类型

Windows集成身份验证：利用操作系统的安全机制进行身份验证。
表单身份验证：通过自定义表单进行身份验证。
OAuth 2.0/OpenID Connect：通过第三方身份提供者进行身份验证。

应用场景

企业内部应用：在企业内部网络中，使用Windows身份验证可以简化用户的登录过程。
Web应用：在Web应用中，可以使用IdentityServer4进行集中式的身份验证和授权管理。

问题及解决方法

问题描述

在使用IdentityServer4进行Windows身份验证时，User.Identity.Name的值为空。

原因分析

配置错误：可能是IdentityServer4的配置不正确，导致无法正确获取用户的身份信息。
权限问题：可能是应用程序没有足够的权限来访问用户的身份信息。
中间件顺序问题：可能是ASP.NET中间件的顺序配置不正确，导致身份验证中间件无法正确执行。

解决方法

检查配置：确保IdentityServer4的配置正确，特别是Windows身份验证的相关配置。例如：
检查配置：确保IdentityServer4的配置正确，特别是Windows身份验证的相关配置。例如：
检查权限：确保应用程序有足够的权限来访问用户的身份信息。可以在web.config中配置相应的权限：
检查权限：确保应用程序有足够的权限来访问用户的身份信息。可以在web.config中配置相应的权限：
检查中间件顺序：确保ASP.NET中间件的顺序正确。身份验证中间件应该在IdentityServer4中间件之前执行：
检查中间件顺序：确保ASP.NET中间件的顺序正确。身份验证中间件应该在IdentityServer4中间件之前执行：

参考链接

通过以上步骤，应该可以解决User.Identity.Name在IdentityServer4委派为空的问题。如果问题仍然存在，建议检查应用程序的日志和配置文件，以获取更多详细的错误信息。

相关搜索:集成Windows身份验证的IdentityServer4 asp.net核心中托管的Blazor Wasm的User.Identity.Name为空 IIS Windows身份验证- HttpContext.Current.User.Identity.Name为空为移动应用程序提供谷歌身份验证的IdentityServer4？@RespositoryRestController中的@WithUserDetails身份验证为空来自应用程序委派的托管对象上下文为空 asp.net核心+ angular客户端应用中的User.Identity.Name为空带有Identity.Core v2的.NET 4.5 API - User.Identity.Name始终为空中间件中的身份验证用户为空 ASP.NET核心3.1:接口控制器中的User.Identity.Name为空，但存在声明名称 Spring boot -身份验证提供程序中的自动连接为空经过身份验证的用户在laravel中间件中为空为单页HTML站点启用Active Directory组的Windows身份验证为linux机器提供服务的Django应用程序使用windows身份验证对于某些值，从Windows文件夹读取的Outlook邮件为空首次身份验证时，Google Auth登录配置文件的名字和姓氏为空如何在SignalR中为某些集线器(而非所有集线器)设置集成的Windows身份验证如何在装有SQLAlchemy的Linux主机上为SQL Server使用Windows身份验证？经过几次成功的身份验证后，带有Steam auth的IOwinContext.Authentication.AuthenticateAsync("ExternalCookie")随机为空 Paramiko ssh连接到windows主机。"VBoxManage.exe guestcontrol run“命令的标准输出为空

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

asp.net core IdentityServer4 概述

最常见的身份验证协议是SAML2p，WS-Federation和OpenID Connect-SAML2p是最受欢迎和部署最广泛的协议。...API访问应用程序有两种与API通信的基本方式-使用应用程序身份或委派用户身份。有时两种方法需要结合。 OAuth2是一种协议，允许应用程序从安全令牌服务请求访问令牌并使用它们与API通信。...由于可以集中身份验证和授权，因此这种委派降低了客户端应用程序和API的复杂性。...IdentityServer4是这两个协议的实现，并且经过高度优化，可以解决当今移动，本机和Web应用程序中的典型安全问题。...IdentityServer4如何提供帮助 IdentityServer是将符合规范的OpenID Connect和OAuth 2.0端点添加到任意ASP.NET Core应用程序的中间件。

1.3K2 0

ASP.NET Core的身份认证框架IdentityServer4（7）- 使用客户端认证控制API访问

我准备使用的是.net core 2.0 所支持的IdentityServer4 2.0.0，官方文档及Demo只能参考，因为在asp.net core 2.0及IdentityServer4 2.0版本中一些接口做了调整...第一次接触IdentityServer4是在ABP的asp.net zero项目中，感觉IdentityServer4挺方便的，便有了系统性的学一下IdentityServer4的想法，这是我写IdentityServer4...准备创建一个名为QuickstartIdentityServer的ASP.NET Core Web 空项目（asp.net core 2.0），端口5000 创建一个名为Api的ASP.NET Core...配置添加身份验证中间件验证传入令牌以确保它来自可信发行者。...然后你可以使用 RequestClientCredentialsAsync 方法来为你的目标 API 请求一个令牌： // 请求令牌 var tokenClient = new TokenClient(

3.4K4 0

什么是内网渗透委派攻击？

进行身份验证并需要代表该用户更新后端数据库服务器上的记录的方案，这就是最早的非约束性委派。...有时用户会通过其他协议（例如NTLM或什至基于表单的身份验证）对服务进行身份验证，因此他们不会将TGS发送给服务。...在这种情况下，服务可以调用S4U2Self来要求身份验证服务为其自身的任意用户生成TGS ，然后可以在调用S4U2Proxy时将其用作依据。...@REDTEAM.CLUB_cifs~ad1.redteam.club@REDTEAM.CLUB.kirbi五、基于资源的约束委派5.1 基于资源的约束委派原理基于资源的约束委派(RBCD)是在Windows...微软推出了protected users组，组内用户不允许被委派，适用于Windows Server 2016，Windows Server 2012 R2、 Windows Server 20123.

1672 1

Domain Escalation: Unconstrained Delegation

基本介绍在Windows 2000之后微软引入了一个选项，用户可以通过Kerberos在一个系统上进行身份验证，并在另一个系统上工作，这种技术主要通过委派机制来实现，无约束委派通过TGT转发技术实现，...web服务器进行身份验证时，服务器希望与SQL后端或文件服务器进行交互 Kerberos委托的类型: 不受限制的委托受约束的委托 RBCD(基于资源的受限委派) SPN介绍 Kerberos身份验证使用...SPN将服务实例与服务登录帐户相关联，这允许客户端应用程序请求服务对帐户进行身份验证，即使客户端没有帐户名无约束委派该功能最初出现在Windows Server 2000中，但为了向后兼容它仍然存在...TGT并将它们存储在缓存中这个TGT可以代表经过身份验证的用户访问后端资源代理系统可以使用这个TGT请求访问域中的任何资源攻击者可以通过使用用户委派TGT请求任何域服务(SPN)的TGS来滥用不受限制的委派...，powerview脚本是PowerSploit框架的一部分，PowerSploit框架是使用PowerShell为攻击性安全而创建的，你能找到它这里 https://github.com/PowerShellMafia

8162 0

ASP.NET Core Swagger接入使用IdentityServer4 的 WebApi

写在前面是这样的，我们现在接口使用了Ocelot做网关，Ocelot里面集成了基于IdentityServer4开发的授权中心用于对Api资源的保护。...问题来了，我们的Api用了SwaggerUI做接口的自文档，那就蛋疼了，你接入了IdentityServer4的Api，用SwaggerUI调试、调用接口的话，妥妥的401，未授权啊。...1、新建空白解决方案，并添加一个空的WebApi项目，IdentityServer ?...http://localhost:5000"; // IdentityServer服务器地址 options.ApiName = "swagger_api"; // 用于针对进行身份验证的...如果为空，则客户端无法访问 } }); c.OperationFilter<AuthResponsesOperationFilter

1.6K2 0

IdentityServer4 知多少

引言现在的应用开发层出不穷，基于浏览器的网页应用，基于微信的公众号、小程序，基于IOS、Android的App，基于Windows系统的桌面应用和UWP应用等等，这么多种类的应用，就给应用的开发带来的挑战...IdentityServer4就是这样一个框架，IdentityServer4是为ASP.NET CORE量身定制的实现了OpenId Connect和OAuth2.0协议的认证授权中间件。...HTTP身份验证流程 HTTP提供了一套标准的身份验证框架：服务器可以用来针对客户端的请求发送质询(challenge)，客户端根据质询提供身份验证凭证。...然后客户端可以在请求中添加Authorization头进行验证，其Value为身份验证的凭证信息。...而IdentityServer4是为ASP.NET CORE量身定制的实现了OpenId Connect和OAuth2.0协议的认证授权中间件。

3K2 0

IdentityServer（15）- 第三方快速入门和示例

和Web API 本示例显示如何在保护API的IdentityServer所在的主机上托管API。.../souzartn/IdentityServer4.Samples.Mongo 从Facebook，Google和Twitter交换外部令牌演示如何使用扩展授权将外部身份验证令牌交换到IdentityServer...访问令牌 https://github.com/waqaskhan540/IdentityServerExternalAuth IdentityServer4 Quickstart UI 的ASP.NET...IdentityServer4使用JWKS令牌保护NodeAPI 演示如何使用IdentityServer4的JWKS端点和RS256算法来保护Node（Express）API。...使用更高质量的生产就绪模块为IdentityServer4.Samples中的NodeJsApi样本提供备选方案。

1.4K6 0

内网协议NTLM之内网大杀器CVE-2019-1040漏洞

printer bug，强制Windows主机通过MS-RPRN RPC接口向攻击者进行身份验证。...一、攻击域Exchange Server/管理员前提条件 1.Exchange服务器可以是任何版本（包括为PrivExchange修补的版本）。...比如为攻击者帐户授予DCSync权限。 5.如果在可信但完全不同的AD林中有用户，同样可以在域中执行完全相同的攻击。...3.使用中继的LDAP身份验证，将受害者服务器的基于资源的约束委派权限授予攻击者控制下的计算机帐户。 4.攻击者现在可以作为AD服务器上的任意用户进行身份验证。包括域管理员。...攻击Kerberos委派实验环境 Attacker:kali ,机器名：kali :192.168.8.135 DC:windows 2016 ,机器名：dc.one.com :192.168.8. 178

6.6K3 1

域渗透技巧

前言：由于每台服务器都需要注册用于Kerberos身份验证服务的SPN，因此这为在不进行大规模端口扫描的情况下收集有关内网域环境的信息提供了一个更加隐蔽的方法。...AdFind.exe -default -f "(&(adminCount=1)(objectClass=user))" -dn #枚举配置为无约束委派的所有服务器（不包括DC） AdFind.exe...一旦禁用了预身份验证，攻击者就可以为任何用户请求身份验证数据，并且域控制器将返回可以离线暴力破解的加密TGT。...1.工作组网络（身份验证方式为NTLM） (1)抓取本机口令建立服务器的kekeo命令如下(普通用户权限)： tsssp::server 连接服务器的kekeo命令如下(普通用户权限)： tsssp:...2.域网络（Kerberos）身份验证方式为Kerberos (1)抓取本机口令建立服务器的kekeo命令如下(普通用户权限)： tsssp::server 连接服务器的kekeo命令如下(普通用户权限

1.2K2 1

【One by One系列】IdentityServer4（二）使用Client Credentials保护API资源

应用,搭载Id4 2.1 创建项目使用IdentityServer4的空模板创建应用 md quickstart cd quickstart md src cd src #空模板项目 dotnet...模板中ApiScope为空，在Config.cs增加 public static IEnumerable ApiScopes => new ApiScope[] { //新增...客户端，模板中的客户端与scope一样为空，在Config.cs增加客户端，代码如下： public static IEnumerable Clients =>...“JWT 持有者身份验证中间件还可以支持更高级的方案，例如颁发机构authority 不可用时使用本地证书验证令牌。...，只允许scope为api2的访问，传入的时api1，当然就返回Forbidden 类比场景：小区进入后，进入单元楼，明明是3栋2单元的楼宇，但是你的门禁只能针对3栋1单元，当然也不会刷开2单元的大门

2.3K3 0

Active Directory 域安全技术实施指南 (STIG)

V-8538 中等的必须将安全标识符 (SID) 配置为仅使用直接受信任的外部或林信任的身份验证数据。...因为信任关系有效地消除了信任域或林中的身份验证级别，所以它们代表了域或林级别的不太严格的访问控制，其中... V-8553 中等的必须启用复制并将其配置为至少每天发生一次。...Pre-Windows 2000 Compatible Access 组的创建是为了允许 Windows NT 域与 AD 域互操作，方法是允许未经身份验证的访问某些 AD 数据。默认权限......V-8521 低的具有委派权限的用户帐户必须从 Windows 内置管理组中删除或从帐户中删除委派权限。在 AD 中，可以委派帐户和其他 AD 对象所有权和管理任务。...（这通常是为帮助台或其他用户支持人员完成的。）这样做是为了避免需要...... V-8526 低的必须考虑 INFOCON 更改对跨目录身份验证配置的影响并记录程序。

1.2K1 0

.NET Core微服务之基于IdentityServer建立授权与验证服务

Server为其发放了一个token，而这个token就好比是把家里的钥匙配了一把（clone）新的，此后该User就可以访问API请求获取Orders（订单）数据了。...（1）身份验证服务=>官方认证的OpenID Connect实现　　（2）单点登录/注销（SSO）　　（3）访问受控的API=>为不同的客户提供访问API的令牌，比如：MVC网站、SPA、Mobile...三、Started:第一个AuthorizationServer 1.1 建立一个ASP.NET Core空Web项目　　建立ASP.NET Core项目，使用Empty空模板。　　...Step7.基本的开发结束，对于开发阶段，我们使用IdentityServer为开发者提供的临时证书即可，但是后面仍然需要生成一些正儿八经的证书。...最终导出后的结果如下图所示：　　这里我将其放到了项目结构文件夹中，并设置这个pfx文件为“如果较新则复制”，确保可以在最后生成的目录里边。

1.7K6 0

横向移动与域控权限维持方法总汇

发生域委派的服务一般为机器账户和服务账户。...非约束性委派的启用：为某账户启用信任此计算机来委派任何服务即开启非约束性委派。...若启用任何身份验证协议，就会有 TrustedToAuthenticationForDelegation 基于资源的约束性委派 Windows Server 2012中引入了基于资源的约束性委派。...首先配置好约束性委派账户注意选用使用任何身份验证协议我们先信息搜集：看哪些用户是开启约束性委派的。...（如果域控制器的系统版本为Windows Server 2003，则不能使用该方法进行持久化操作。

1.7K2 0

ASP.NET Core的身份认证框架IdentityServer4（3）-术语的解释

IdentityServer4 术语 IdentityServer4的规范、文档和对象模型使用了一些你应该了解的术语。...同样的角色，不同的文档使用不同的术语。...但是它们都是一样的，都是向客户端发送安全令牌（security token）， IdentityServer有许多功能：保护你的资源使用本地帐户或通过外部身份提供程序对用户进行身份验证提供会话管理和单点登录...资源（Resources）资源是您想要使用IdentityServer保护的资源，您的用户的身份数据或API。每个资源都有一个唯一的名称，客户端使用这个名称来指定他们想要访问的资源。...API资源，表示客户端想要调用的功能，通常被建模为Web API，但不一定。身份令牌（Identity Token）身份令牌表示身份验证过程的结果。

8184 0

Ansible 客户端需求–设置Windows主机

默认情况下为空；WinRM服务启动时会生成一个自签名证书，并在TLS进程中使用该证书。 Winrs\MaxShellRunTime：这是允许远程命令执行的最长时间（以毫秒为单位）。...PSModulePathPSModulePath 从PSModulePath环境变量中删除UNC路径，或者使用支持凭据委派的身份验证选项，例如credssp或kerberos启用了凭据委派有关此问题的更多信息...Windows的Win32-OpenSSH身份验证类似于Unix / Linux主机上的SSH身份验证。...当将SSH密钥身份验证与Ansible结合使用时，远程会话将无权访问用户的凭据，并且在尝试访问网络资源时将失败。这也称为双跳或凭据委派问题。...有两种方法可以解决此问题：通过设置使用明文密码身份验证 ansible_password 使用become需要访问远程资源的用户凭据在任务上使用在Windows上为SSH配置Ansible 要将Ansible

10.1K4 1

基于资源的约束委派（RBCD）

具体可参考：https://mp.weixin.qq.com/s/1eJb-UtSVRV5JF0gfQgwWg impacket利用以设置普通域用户dandy基于资源约束委派到dc1$为例，这里直接粗暴利用...烂番茄基于资源的约束委派通过修改自身msDS-AllowedToActOnBehalfOfOtherIdentity字段达到委派的目的，默认把这台域机器拉入域的域用户有这个权限，还有谁有？...字段来设置基于资源的约束委派。...所以可以利用web2008创建域机器（此处为evilpc），并通过writelproperty设置evilpc到其的基于资源的约束委派。...身份验证的整体流程可能如下所示：在 Active Directory 的默认配置中，可以在其 WebClient 服务运行时远程接管工作站 (Windows 7/10/11) 和可能的服务器（如果安装

3.1K4 0

域内委派-原理以及应用

注：在Windows系统中，只有服务账号和主机账号的属性才有委派功能，普通用户默认是没有的根据原理，我们可以诱导管理员访问我们开启了unconstrained delegation服务主机，那么我们就可以拿到域管理员的...，微软在windows service 2003中引入了约束委派，对kerberos协议进行了扩展，引入了S4U，其中S4U支持两个子协议：S4U2Self和S4U2proxy。...约束委派的设置需要SeEnableDelegation 特权，该特权通常仅授予域管理员 ? 上述请求的文字描述： 1.用户向service1发出请求（用户已通过身份验证）。...基于资源的约束委派只能在运行Windows Server 2012 R2和Windows Server 2012的域控制器上配置，但可以在混合模式林中应用。 ? ?...为服务账户1的sid） 4.发起一个从服务1到服务2的正常的约束委派的流程，从而访问服务2。

1.7K5 0

通过WebDav进行NTLM Relay

Windows通过WebClient服务实现WebDav，允许Windows程序通过WebDav来创建、读取以及写入服务器上的文件，并通过HTTP服务进行通信，在客户端访问WebDav时，若开启Windows...0x3 攻击步骤拿到一枚域用户探测开启WebDav的服务器在域内为攻击机添加DNS解析使用Responder进行中继与委派强制WebDav服务器认证攻击机执行基于资源的约束委派攻击 0x4...发现目标后，为了让Relay顺利进行，我们可以添加一份DNS A记录，从而使得WebDav通过默认凭据来对我们进行身份验证，由于在Windows当中，WebDav由WebClient服务实现，而WebClient...服务仅对内网以及受信任站点中的目标来采用默认凭据进行身份验证。...利用Impacket项目ntlmrelayx.py执行攻击，指定LDAP协议进行身份验证，目标主机设置为域控，利用-delegate-access选项执行基于资源的约束委派攻击。

1.8K2 0

红队提权 - 基于RBCD的提权

然后，攻击者可以将该身份验证尝试中继到 LDAP 服务，以配置基于资源的约束委派 (RBCD) ，以允许攻击者控制的用户或计算机帐户冒充任何用户访问受害计算机。...域控制器不得配置为强制执行 LDAP 签名和 LDAP 通道绑定（默认设置）受害计算机必须安装并运行“webclient”服务（默认安装在 Windows 10 上）必须允许用户自定义 Windows...如果用户配置了自定义锁屏图像，Change-LockScreen 工具会将该图像恢复为其原始值。默认的 Windows 锁定屏幕个性化图像位于 C:\Windows\Web\Screen\。...在大多数环境中，基于资源的约束委派的合法用例非常少见。...结论本文介绍了在与适当的身份验证原语结合使用时，基于资源的约束委派 (RBCD) 允许本地权限提升（以及潜在的远程代码执行）的方法。

2K4 0

内网渗透横向移动之委派攻击

属性的值为被允许基于资源约束性委派的账号的SID。...关于委派的更多细节可以查看此文章：(12条消息) windows中关于委派(delegation)的理解_Shanfenglan's blog-CSDN博客关于Kerberos身份验证可以看此文章：Kerberos...基于资源的约束委派只能在运⾏ Windows Server 2012 和 Windows Server 2012 R2 及以上的域控制器上配置，但资源的约束委派可以跨域森林和跨域。...可以让用户模拟成域内任意用户然后向该计算机进行身份验证。...防御委派攻击 1、没有在特殊要求之下设置为不可委派(即设置为敏感账户) ?

1.3K6 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭