Windows的IIS应用的身份真的是太复杂了一点。
首先是IIS的Service是有运行用户的
然后是应用使用的Application Pool也有运行用户
然后是应用也可以指定Impersonate的用户
而如果应用没有使用Windows的用户,那么还可能有另外一个用户。
以前没有搞过Windows的Web的开发,不太清楚这个里面的最佳实践。
目前的感觉是:
IIS的身份一般不去动,因为是大家共享的
如果需要比较强的用户身份,而且比较固定,建议修改Application Pool的运行身份,另外建议创建自己的Application Pool,如果应用只是简单的需要某种身份访问系统中的资源,例如读写文件、服务数据库,那么建议简单的修改web.config,使用Impersonate指定一个用户。
现在开始做.net的应用了,在Visual Studio里面开发的Web Service直接Debug运行是没有问题,但是publish到IIS以后有问题,在创建的时候出现错误,怀疑是权限问题。
看了下资料,发现IIS应用最终运行的用户是Network Service,而我们的Web Service调用了本地的COM组件,那些组件还会再访问数据库,前面的调用没有问题,但是数据库调用部分就会出错,根据那些资料,有一个所谓的身份模拟的功能,就是说IIS应用最终可以以使用我们的应用的用户身份去调用COM,配置也很简单,在web.config文件的system.web里面添加:
<identity impersonate="true"/>
更新:
这种方式不是非常好,因为会导致传导依赖,以我们自己的项目为例,我们是ASP应用调用另外一个Web Service,那个Web Service再调用我们这个Web Service,如果按照上面配置,那么就得要求有运行COM访问数据库的用户访问ASP,然后ASP以及另外那个Web Service都得配置身份模拟,为了打断这个依赖链条,我们可以在上面的配置的基础上指定一个有COM访问数据库权限的用户,这样其他的应用就不必依赖这个机制了:
<identity impersonate="true" userName="domain\username" password="password"/>
© 2024 解惑
本主题由Anders Noren提供 — 向上 ↑