ServerXMLHTTP到底传递什么身份标识?

文章作者：不详
责任编辑：大鱼　录入时间：2004-11-3 20:33:29 来源：跟随大象的舞步
频道声明：本频道的文章除部分特别声明禁止转载的专稿外，可以自由转载.但请务必注明出出处和原始作者文章版权归本频道与文章作者所有.对于被频道转载文章的个人和网站,我们表示深深的谢意.

一．测试样码：

// 这个test.wav就是我们所要GET的资源：

_bstr_t bstrASFURL = "http://localhost/kbtester/test.wav";

MSXML2::IServerXMLHTTPRequestPtr pHttp = NULL;

hr = pHttp.CreateInstance(__uuidof(MSXML2::ServerXMLHTTP));

//MSXML2::IXMLHTTPRequestPtr pHttp = NULL;

//pHttp.CreateInstance("MSXML2.XMLHTTP");

//MSXML2::IXMLHTTPRequestPtr pHttp = NULL;

//pHttp.CreateInstance("Microsoft.XMLHTTP");

if(pHttp == NULL)

{

return hr;

}

// 不传用户名和密码，那就是匿名访问:

hr = pHttp->open(_bstr_t("GET"),

bstrASFURL,

_variant_t((long)FALSE));

if(hr != S_OK)

{

return hr;

}

hr = pHttp->send();

if(hr != S_OK)

{

return hr;

}

if ((pHttp->status != 200) && (pHttp->status != 207))

{

_bstr_t bstrStatus = pHttp->GetstatusText();

return S_FALSE;

}

二．测试结果：

测试序号	设置细节			ServerXMLHTTP的Status
测试序号	IIS虚拟目录的匿名访问	IIS虚拟目录的验证控制	NTFS安全	ServerXMLHTTP的Status
1	启用	启用Windows集成验证	只有某个非当前登录用户的域用户完全控制	401
2	启用	未启用Windows集成验证	只有某个非当前登录用户的域用户完全控制	401
3	启用	启用Windows集成验证	只有Administrator (即当前进程的身份标识)完全控制	200
4	启用	未启用Windows集成验证	只有Administrator (即当前进程的身份标识)完全控制	401
5	启用	启用Windows集成验证	只有 IUSer_MachineName (Internet来宾账号)拥有读取及运行的权限	200
6	启用	未启用Windows集成验证	只有 IUSer_MachineName (Internet来宾账号)拥有读取及运行的权限	200
7	未启用	启用Windows集成验证	只有Administrator (即当前进程的身份标识)完全控制	200

8	启用	启用基本验证; 未启用Windows集成验证	只有Administrator (即当前进程的身份标识)完全控制	401
9	启用	启用基本验证; 未启用Windows集成验证	只有 IUSer_MachineName (Internet来宾账号)拥有读取及运行的权限	200

三．你认为这说明了什么：

如果不给SXH对象传递用户名密码，服务器端的IIS会帮它模拟出IUser_computername的身份标识。

现在我设置了test.wav所在的目录的NTFS文件系统权限中，其中只允许某个非当前登录用户的域用户访问。

（1）．对于IIS的虚拟目录没有启用集成 Windows验证这种情况：

用ServerXMLHTTP或者Microsoft.XMLHTTP对象都会返回401错误！这个，我们可以理解，因为IUSR_computername账号通不过NTFS权限验证。

（2）．对于IIS的虚拟目录启用了集成 Windows验证这种情况：

因为启用了匿名访问，所以IIS会首先使用它来验证。

IIS会先检查test.wav的NTFS 文件和目录权限，查看是否允许 IUSR_computername 帐户访问该文件。

结果是ACL不允许IUser_computername访问。

所以IIS就会自己使用其他种类的验证方法，于是就启用了Windows集成验证。

（也就是说，IIS规定，集成验证仅在禁用匿名访问，或在 NTFS 权限要求用户通过有效 Windows 用户帐户、用户名和密码证明身份时进行。）

从试验1来看，集成验证最终也是需要通过NTFS权限的，否则仍然会失败。

问题是，为什么试验3却能够成功？那就说明这种情况NTFS权限都通过了。

那好，从试验1、3来看，最后集成验证时所使用的身份标识肯定不是IUser_computername账号！否则试验3能成功，试验1就没道理不成功。

所以，我推断集成验证时用的身份标识是当前登录用户！正因为如此，试验1才会失败。

那么，SXH对象是能够把进程的身份传递出去的了？试验7好像证明了这一点。