Какая разница между извлечением WindowsPrincipal из WindowsIdentity и Thread.CurrentPrincipal?

Я пытаюсь понять, почему безопасность на основе атрибутов не работает, как я ожидал бы в WCF, и я подозреваю, что это может иметь отношение к следующему:

AppDomain.CurrentDomain.SetPrincipalPolicy(PrincipalPolicy.WindowsPrincipal);

var identity = new WindowsIdentity("ksarfo");
var principal = new WindowsPrincipal(identity);
Console.WriteLine("\nChecking whether current user [" + identity.Name + "] is member of [" + groupName + "]");
Console.WriteLine(principal.IsInRole(groupName)); // returns true

principal = (WindowsPrincipal)Thread.CurrentPrincipal;
identity = (WindowsIdentity) principal.Identity;
Console.WriteLine("\nChecking whether current user [" + identity.Name + "] is member of [" + groupName + "]");
Console.WriteLine(principal.IsInRole(groupName)); // returns false

Я не понимаю, почему результаты функции различаются для вызова функции:

principal.IsInRole(groupName)

Для полноты точки, в которой код действительно не работает, находится здесь:

PrincipalPermission(SecurityAction.Demand, Role = "PortfolioManager")]

Помогите оценить.

ОТВЕТЫ

Ответ 1

Возможно, это потому, что это не те же классы.

Посмотрите на MSDN:

Итак, если существуют классы differents, возможно, существуют разные варианты.

ИЗМЕНИТЬ:

Я попробовал этот код:

public class InGroup
{
    public string Name { get; set; }
    public bool Current { get; set; }
    public bool Fixe { get; set; }
    public bool Thread { get; set; }
}

WindowsIdentity current = System.Security.Principal.WindowsIdentity.GetCurrent();
WindowsPrincipal principalcurrent = new WindowsPrincipal(current);

WindowsIdentity fixe = new WindowsIdentity("JW2031");
WindowsPrincipal principalFixe = new WindowsPrincipal(fixe);

IPrincipal principalThread = System.Threading.Thread.CurrentPrincipal;

List<InGroup> ingroups = new List<InGroup>();
foreach (IdentityReference item in current.Groups)
{
    IdentityReference reference = item.Translate(typeof(NTAccount));
    Console.WriteLine("{0}\t{1}\t{2}\t{3}",
        reference.Value,
        principalcurrent.IsInRole(reference.Value),
        principalFixe.IsInRole(reference.Value),
        principalThread.IsInRole(reference.Value));

    ingroups.Add(new InGroup()
    {
        Name = reference.Value,
        Current = principalcurrent.IsInRole(reference.Value),
        Fixe = principalFixe.IsInRole(reference.Value),
        Thread = principalThread.IsInRole(reference.Value)
    });
}
foreach (IdentityReference item in fixe.Groups)
{
    IdentityReference reference = item.Translate(typeof(NTAccount));
    if (ingroups.FindIndex(g => g.Name == reference.Value) == -1)
    {
        ingroups.Add(new InGroup()
        {
            Name = reference.Value,
            Current = principalcurrent.IsInRole(reference.Value),
            Fixe = principalFixe.IsInRole(reference.Value),
            Thread = principalThread.IsInRole(reference.Value)
        });
        Console.WriteLine("{0}\t{1}\t{2}\t{3}",
            reference.Value,
            principalcurrent.IsInRole(reference.Value),
            principalFixe.IsInRole(reference.Value),
            principalThread.IsInRole(reference.Value));
    }
}

И вот результат

Как вы можете видеть, у меня не было одинаковых групп с разными способами. Поэтому (поскольку я являюсь администратором моей локальной машины), я думаю, что WindowsIdentity.GetCurrent получит пользователя от AD и WindowsPrincipal (WindowsIdentity ("")) получит пользователя с локальной машины.

В моем webapp я получил самую низкую авторизацию (я думаю). Но у меня нет объяснений для consoleapp...

Это только предположения, но это когерентно.

Ответ 2

Я считаю, что разница между зарегистрированным пользователем и учетной записью, запускающей приложение (поток). Они не всегда будут одинаковыми.

Ответ 3

Я признаю это довольно уродливым обходным решением, но если все остальное не удается, вы можете заменить:

principal = (WindowsPrincipal)Thread.CurrentPrincipal;

с чем-то вроде

principal = new WindowsPrincipal(new WindowsIdentity(Thread.CurrentPrincipal.Identity.Name));

Если это не сработает, возможно, по крайней мере, будет поучительно показывать, где все идет не так.

Но я не могу себе представить, что это терпит неудачу, так как он делает то же самое (где это актуально) как работающая строка: я предполагаю, что Thread.CurrentPrincipal.Identity.Name есть "ksarfo".