2. 程式人生 > >從執行上下文角度重新理解.NET(Core)的多執行緒程式設計[3]:安全上下文

從執行上下文角度重新理解.NET(Core)的多執行緒程式設計[3]:安全上下文

阿新 發佈:2020-11-27

在前兩篇文章(《基於呼叫鏈的”引數”傳遞》和《同步上下文》)中,我們先後介紹了CallContext(IllogicalCallContext和LogicalCallContext)、AsyncLocal<T>和SynchronizationContext,它們都是執行緒執行上下文的一部分。本篇介紹的安全上下文(SecurityContext)同樣是執行上下文的一部分,它攜帶了的身份和許可權相關的資訊決定了執行程式碼擁有的控制權限。

目錄
一、SecurityContext
二、讓程式碼在指定Windows賬號下執行
三、抑制模擬賬號的跨執行緒傳播
四、利用Impersonation機制讀取檔案

一、SecurityContext

SecurityContext型別表示的安全上下文主要攜帶兩種型別的安全資訊,一種是通過WindowsIdentity物件表示Windows認證身份,體現為SecurityContext型別的WindowsIdentity屬性。如果採用Windows認證和授權,這個WindowsIdentity物件決定了當前程式碼具有的許可權。SecurityContext型別的另一個屬性返回的CompressedStack攜帶了呼叫堆疊上關於CAS(Code Access Security)相關的資訊。。

public sealed class SecurityContext : IDisposable
{   
    ...
    internal WindowsIdentity WindowsIdentity { get; set; }
    internal CompressedStack CompressedStack { get; set; }
}

由於CAS在.NET Core和.NET 5中不再被支援,所以我們不打算對此展開討論,所以本篇文章討論的核心就是SecurityContext的WindowsIdentity屬性返回的WindowsIdentity物件,這個物件與一種被稱為Impersonation的安全機制。

二、讓程式碼在指定Windows賬號下執行

Windows程序總是在一個指定賬號下執行,該賬號決定了當前程序訪問Windows資源(比如Windows檔案系統)的許可權。安全起見,我們一般會選擇一個許可權較低的賬號(比如Network Service)。如果某些程式碼涉及的資源訪問需要更高的許可權,我們可以針對當前登入使用者對應的Windows賬號(如果採用Windows認證)或者是任意指定的Windows賬號建立一個上下文,在此上下文中的代相當於在指定的Windows賬號下執行,自然擁有了對應賬號的許可權。這種策略相當於模擬/假冒了(Impersonate)了指定賬號執行了某種操作,所以我們將這種機制稱為Impersonation。

我們通過一個簡單的例子來演示一下Impersonation機制。我們首先編寫了如下這個GetWindowsIdentity方法根據指定的賬號和密碼建立對應的WindowsIdentity物件。如程式碼片段所示,方法利用指定的使用者名稱和密碼呼叫了Win31函式LogonUser實施了登入操作,並領用返回的token建立程式碼登入使用者的WindowsIdentity物件。

[DllImport("advapi32.dll")]
public static extern int LogonUser(string lpszUserName,
    string lpszDomain,
    string lpszPassword,
    int dwLogonType,
    int dwLogonProvider,
    ref IntPtr phToken);

public static WindowsIdentity GetWindowsIdentity(string username, string password)
{
    IntPtr token = IntPtr.Zero;
    var status = LogonUser(username, Environment.MachineName, password, 2, 0, ref token);
    if (status != 0)
    {
        return new WindowsIdentity(token);
    }
    throw new InvalidProgramException("Invalid user name or password");
}

我們編寫了如下的程式碼來演示不同執行上下文中當前的Windows賬號是什麼,當前Windows賬號對應的WindowsIdentity物件通過呼叫WindowsIdentity型別的靜態方法GetCurrent獲得。如程式碼片段所示,我們在程式初始化時打印出當前Windows賬號。然後針對賬號foobar(XU\foobar)建立了對應的模擬上下文(Impersonation Context),並在此上下文中打印出當前Windows賬號。我們在模擬上下文中通過建立一個執行緒的方式執行了一個非同步操作,並在非同步執行緒中在此輸出當前Windows賬號。在模擬上下文終結之後,我們在此輸出當前的Windows賬號看看是否恢復到最初的狀態。

class Program
{

    static void Main()
    {
        Console.WriteLine("Before impersonating: {0}", WindowsIdentity.GetCurrent().Name);
        using (GetWindowsIdentity(@"foobar", "password").Impersonate())
        {
            Console.WriteLine("Within Impersonation context: {0}", WindowsIdentity.GetCurrent().Name);
            new Thread(() => Console.WriteLine("Async thread: {0}", WindowsIdentity.GetCurrent().Name)).Start();
        }
        Console.WriteLine("Undo impersonation: {0}", WindowsIdentity.GetCurrent().Name);
        Console.Read();
    }
}

程式執行之後,控制檯上會輸出如下所示的結果。可以看出在預設情況下,模擬的Windows賬號不僅在當前執行緒中有效,還會自動傳遞到非同步執行緒中。

三、抑制模擬賬號的跨執行緒傳播

通過上面的例項我們可以看出在預設情況下安全上下文攜帶的模擬Windows賬號支援跨執行緒傳播,但是有的時候這個機制是不必要的,甚至會程式碼安全隱患,在此情況下我們可以按照如下的當時呼叫SecurityContext的

class Program
{

    static void Main()
    {
        Console.WriteLine("Before impersonating: {0}", WindowsIdentity.GetCurrent().Name);
            using (GetWindowsIdentity(@"foobar", "password").Impersonate())
            {
                SecurityContext.SuppressFlowWindowsIdentity();
                Console.WriteLine("Within Impersonation context: {0}", WindowsIdentity.GetCurrent().Name);
                new Thread(() => Console.WriteLine("Async thread: {0}", WindowsIdentity.GetCurrent().Name)).Start();
            }
        Console.WriteLine("Undo impersonation: {0}", WindowsIdentity.GetCurrent().Name);
        Console.Read();
    }
}

再次執行修改後的程式會得到如下所示的輸出結果,可以看出模擬的Windows賬號(XU\foobar)並沒有傳遞到非同步執行緒中。

四、利用Impersonation機制讀取檔案

訪問當前賬號無權訪問的資源是Impersonation機制的主要應用場景,接下來我們就來演示一下基於檔案訪問的Impersonation應用場景。我們建立了一個文字檔案d:\test.txt,並對其ACL進行如下的設定:只有Xu\foobar賬號才具有訪問許可權。

我們修改了上面的程式碼,將驗證當前Windows賬號的程式碼替換成驗證檔案讀取許可權的程式碼。

class Program
{

    static void Main()
    {
        Console.WriteLine("Before impersonating: {0}", CanRead() ? "Allowed" : "Denied");
        using (GetWindowsIdentity("foobar", "password").Impersonate())
        {
            Console.WriteLine("Within Impersonation context: {0}", CanRead() ? "Allowed" : "Denied");
            new Thread(() => Console.WriteLine("Async thread: {0}", CanRead() ? "Allowed" : "Denied")).Start();
        }
        Console.WriteLine("Undo impersonation: {0}", CanRead() ? "Allowed" : "Denied");
        Console.Read();
        bool CanRead()
        {
            var userName = WindowsIdentity.GetCurrent().Name;
            try
            {
                File.ReadAllText(@"d:\test.txt");
                return true;
            }
            catch
            {
                return false;
            }
        }
    }
}

如下所示程式執行後的輸出結果,可以看出在檔案只有在針對XU\foobar的模擬上下文中才能被讀取。如果執行模擬WindowsIdentity的跨執行緒傳播,非同步執行緒也具有檔案讀取的許可權(如圖),否則在非同步執行緒中也無法讀取該檔案(感興趣的朋友可以自行測試一下)。

從執行上下文角度重新理解.NET(Core)的多執行緒程式設計[1]:基於呼叫鏈的”引數”傳遞
從執行上下文角度重新理解.NET(Core)的多執行緒程式設計[2]:同步上下文
從執行上下文角度重新理解.NET(Core)的多執行緒程式設計[3]:安全

相關推薦

執行上下文角度重新理解.NET(Core)的執行程式設計[1]基於呼叫鏈的”引數”傳遞

執行緒是作業系統能夠進行運算排程的最小單位,作業系統執行緒進一步被封裝成託管的Thread物件,手工建立並管理Thread物件已經成為了所能做到的對執行緒最細粒度的控制了。後來我們有了ThreadPool,可以更加方便地以池化的方式來使用執行緒。最後,Task誕生,它結合async/await關鍵字給與我們完

執行上下文角度重新理解.NET(Core)的執行程式設計[2]同步上下文

一般情況下,我們可以將某項操作分發給任意執行緒來執行,但有的操作確實對於執行的執行緒是有要求的,最為典型的場景就是:GUI針對UI元素的操作必須在UI主執行緒中執行。將指定的操作分發給指定執行緒進行執行的需求可以通過同步上下文(SynchronizationContext)來實現。你可能從來沒有使用過Sync

執行上下文角度重新理解.NET(Core)的執行程式設計[3]安全上下文

在前兩篇文章(《基於呼叫鏈的”引數”傳遞》和《同步上下文》)中,我們先後介紹了CallContext(IllogicalCallContext和LogicalCallContext)、AsyncLocal<T>和SynchronizationContext,它們都是執行緒執行上下文的一部分。本篇介

匯編角度理解linux下層函數調用堆棧運行狀態

see padding clas symbols edi inux -s alt sso 我們用下面的C代碼來研究函數調用的過程。 C++ Code 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 int bar(

.NET Core平臺開發體驗[3]: Linux (Windows Linux子系統)

如果想體驗Linux環境下開發和執行.NET Core應用,我們有多種選擇。一種就是在一臺物理機上安裝原生的Linux,我們可以根據自身的喜好選擇某種Linux Distribution,目前來說像RHEL、Ubuntu、Debian、Fedora、CentOS和SUSE這些主流的Distribution都是

ASP.NET Core應用的錯誤處理[3]ExceptionHandlerMiddleware中介軟體如何呈現“定製化錯誤頁面”

DeveloperExceptionPageMiddleware中介軟體利用呈現出來的錯誤頁面實現丟擲異常和當前請求的詳細資訊以輔助開發人員更好地進行糾錯診斷工作,而ExceptionHandlerMiddleware中介軟體則是面向終端使用者的,我們可以利用它來顯示一個友好的定製化的錯誤頁面。按照慣例,我們

MFC筆記(四)——執行程式設計3用_beginthreadex()來代替使用CreateThread()

        CreateThread()函式是Windows提供的API介面,在C/C++語言另有一個建立執行緒的函式_beginthreadex(),在很多書上(包括《Windows核心程式設計》)提到過儘量使用_begin

實踐角度重新理解BIO和NIO

前言 這段時間自己在看一些Java中BIO和NIO之類的東西,看了很多部落格,發現各種關於NIO的概念說的天花亂墜頭頭是道,可以說是非常的完整,但是整個看下來之後,自己對NIO還是一知半解的狀態,所以這篇文章不會提到很多的概念,而是站在一個實踐的角度,寫一些我自己關於NIO的見解,站在實踐過後的高度下再回去看

需求的角度理解Linux系列總線、設備和驅動

電平 可移植性 需求 講解 好處 鼠標 地理 embed 博客專家 筆者成為博客專家後整理以前原創的嵌入式Linux系列博文,現推出以讓更多的讀者受益。 《從需求的角度去理解linux系列:總線、設備和驅動》是一篇有關如何學習嵌入式Linux系統的方法論文章,也是從

零開始搭建自己的.NET Core Api框架】(二)搭建項目的整體架構

config 七層 數據 TP 暫時 整體架構 比較 架構 其他 本來打算將搭建項目架構和集成SqlSugar放在一起講的,但是感覺東西有點多,還是分成兩章吧~ 這一章講搭建項目的整體架構,這裏先把搭建完成後的最終效果放出來,然後再逐個解釋每層的作用。 可以看到這裏一

零開始搭建自己的.NET Core Api框架】(三)集成輕量級ORM——SqlSugar3.3 自動生成實體類

i++ 點運算 自己的 yui content project style ref 數據庫表 系列目錄 一. 創建項目並集成swagger   1.1 創建   1.2 完善 二. 搭建項目整體架構 三. 集成輕量級ORM框架——SqlSugar   3.1 搭建環境  

零開始搭建自己的.NET Core Api框架】(六)泛型倉儲的作用

tar write ges 分享圖片 () dex 抽象 .sql cut 系列目錄 一. 創建項目並集成swagger   1.1 創建   1.2 完善 二. 搭建項目整體架構 三. 集成輕量級ORM框架——SqlSugar   3.1 搭建環境   3.2 實戰篇:

執行——生活中理解什麼是執行

     每一個程式可以包含至少一個執行緒,而多個執行緒之間可以“併發”執行。        在介紹執行緒前先來用生活中最常見的一個小例子來理解什麼是執行緒:   &nbs

深入理解.NET Core的基元: deps.json, runtimeconfig.json, dll檔案

C#編譯器(The C# Compiler) C#的編譯器可以將cs檔案轉換為dll檔案, 即程式集檔案。程式集檔案是一個便攜的可執行格式檔案, 藉助.NET Core,它可以執行在Windows, MacOS和Linux系統中。 在Windows系統中, .NET Core的編譯器檔案csc.dll存放在

Android事件分發機制完全解析,帶你原始碼的角度徹底理解(上)-郭霖

其實我一直準備寫一篇關於Android事件分發機制的文章,從我的第一篇部落格開始,就零零散散在好多地方使用到了Android事件分發的知識。也有好多朋友問過我各種問題,比如:onTouch和onTouchEvent有什麼區別,又該如何使用?為什麼給ListView引入了一

Android事件分發機制完全解析,帶你原始碼的角度徹底理解(下)-郭霖

記得在前面的文章中,我帶大家一起從原始碼的角度分析了Android中View的事件分發機制,相信閱讀過的朋友對View的事件分發已經有比較深刻的理解了。 還未閱讀過的朋友,請先參考 Android事件分發機制完全解析,帶你從原始碼的角度徹底理解(上) 。 那麼今天我們將繼

Android ListView工作原理完全解析,帶你原始碼的角度徹底理解

在Android所有常用的原生控制元件當中,用法最複雜的應該就是ListView了,它專門用於處理那種內容元素很多,手機螢幕無法展示出所有內容的情況。ListView可以使用列表的形式來展示內容,超出螢幕部分的內容只需要通過手指滑動就可以移動到螢幕內了。另外ListView還

Android事件分發機制完全解析,帶你原始碼的角度徹底理解(上)

其實我一直準備寫一篇關於Android事件分發機制的文章,從我的第一篇部落格開始,就零零散散在好多地方使用到了Android事件分發的知識。也有好多朋友問過我各種問題,比如:onTouch和onTouchEvent有什麼區別,又該如何使用?為什麼給ListView引入

Android事件分發機制完全解析,帶你原始碼的角度徹底理解(下)

記得在前面的文章中,我帶大家一起從原始碼的角度分析了Android中View的事件分發機制,相信閱讀過的朋友對View的事件分發已經有比較深刻的理解了。那麼今天我們將繼續上次未完成的話題,從原始碼的角度分析ViewGroup的事件分發。首先我們來探討一下,什麼是ViewGro

centos下搭建.NET Core專案執行環境

centos下搭建.NET Core專案執行環境:https://github.com/Somnus/somnus.github.io/blob/master/doc/code/centos%E4%B8%8B%E6%90%AD%E5%BB%BA.NET%20Core%E9%A1%B9%E7%9B%AE%E8%