У меня проблема, возникающая в одной производственной среде, которая сильно царапается.
У вас есть два пользователя, A и B. Пользователь A входит в систему, все работает нормально. Пользователь B входит в систему и после входа пользователя B пользователь A теперь имеет тот же маркер безопасности, что и пользователь B.
Наша настройка WIF довольно стандартная, мы добавляем некоторые пользовательские требования к токену, но все остальное выглядит стандартно, насколько маркер создается и хранится (обрабатывается WIF).
Почувствуйте, как я могу столкнуться с каким-то странным случаем с WIF, который я не знаком с
Обновление: оба A и B могут быть на отдельных машинах или отдельных браузерах на одном компьютере.
Где мы получаем токен при запросе службы
if (HttpContext.Current == null)
return null;
if (HttpContext.Current.Cache == null)
return null;
if (FederatedAuthentication.SessionAuthenticationModule == null)
return null;
if (FederatedAuthentication.SessionAuthenticationModule.ContextSessionSecurityToken == null)
return null;
var sessionToken = FederatedAuthentication.SessionAuthenticationModule.ContextSessionSecurityToken;
if (sessionToken.ClaimsPrincipal == null)
throw new InvalidOperationException("The ClaimsPrincipal property of the FederatedAuthentication.SessionAuthenticationModule.ContextSessionSecurityToken object is null");
if (sessionToken.ClaimsPrincipal.Identities == null)
throw new InvalidOperationException("The ClaimsPrincipal.Identities sub-property of the FederatedAuthentication.SessionAuthenticationModule.ContextSessionSecurityToken object is null");
if (sessionToken.ClaimsPrincipal.Identities.Count == 0)
throw new InvalidOperationException("The ClaimsPrincipal.Identities sub-property of the FederatedAuthentication.SessionAuthenticationModule.ContextSessionSecurityToken object has no identities");
if (sessionToken.ClaimsPrincipal.Identities[0] == null)
throw new InvalidOperationException("The first identity in the ClaimsPrincipal.Identities sub-property of the FederatedAuthentication.SessionAuthenticationModule.ContextSessionSecurityToken object is null");
if (sessionToken.ClaimsPrincipal.Identities[0].Claims == null)
throw new InvalidOperationException("The first identity in the ClaimsPrincipal.Identities sub-property of the FederatedAuthentication.SessionAuthenticationModule.ContextSessionSecurityToken object as a null Claims property");
return TokenUtility.GetDelegatedToken(IssuedTokenTypes.UserProfile | IssuedTokenTypes.AccountPermissions, sessionToken);
Если я добавлю здесь регистрацию, я вижу, что sessionToken.ClaimsPrincipal.Identity.Name отличается от имени, которое предполагается в данный момент.
Используется ли ваша полагающаяся сторона и сервер STS (WIF) на одном и том же IIS с использованием того же пула приложений? Если да, попробуйте использовать другой пул приложений, как иногда используется рабочий процесс, чтобы испортить вещи. Надеюсь, это поможет вам.
Я видел подобную проблему. Мы решили, что это будет изменение наличных средств на IIS и в коде. Обналичка заставляла безопасность казаться запутанной, но сервер просто сохранял последний результат созданного html, делая его похожим на то, что пользователь A был зарегистрирован, а не пользователь B. Надеюсь, это поможет некоторым.
Это поможет, если вы разместите дополнительную информацию о любых настройках веб-конфигурации, а также конфигурации IIS и версии .NET Framework. Для меня это звучит как проблема пула приложений, но это связано с крайне ограниченными знаниями вашей системы. Если идентификатор пула приложений является обычным, конечно, доступ к одному и тому же пользователю, если не установлена локальная система или олицетворение. Если это не проблема, проверьте свои настройки авторизации и убедитесь, что анонимные и базовые отключены или что-то еще, что может потребоваться вашему приложению.