Windows a intégré L'authentification dans node.Client js

mise à Jour: il y a maintenant quelques modules qui implémentent L'authentification intégrée à Windows. node-sspi utilise SSPI (L'API de sécurité Windows) pour gérer le côté serveur des choses, mais ne pas faire de l'authentification des clients. Il y a plusieurs implémentations clienthttp-ntlm, mais ils ne sont pas vraiment intégrés puisqu'ils nécessitent le mot de passe de l'utilisateur -- ils n'utilisent pas SSPI pour faire transparent auth.

"Windows integrated authentication" est ce qu'on appelle l'authentification NTLM. Lorsque vous recevez un HTTP 401 de IIS avec un WWW-Authenticate en-tête contenant NTLM, vous avez maintenant le plaisir d'implémenter le protocole D'authentification NTLM. Citant ce document sur le protocole D'authentification NTLM:

1. Le client demande une ressource protégée de la serveur:

   GET /index.html HTTP/1.1
   

2. Le serveur répond avec un 401 statut, indiquant que le client doit s'authentifier. NTLM est présenté comme un mécanisme d'authentification via le WWW-Authenticate en-tête. Typiquement, le serveur ferme la connexion à ce moment:

   HTTP/1.1 401 Unauthorized
   WWW-Authenticate: NTLM
   Connection: close
   

   notez Qu'Internet Explorer ne sélectionnera NTLM que s'il s'agit du premier mécanisme proposé; ceci est en contradiction avec la RFC 2616, qui stipule que le client doit sélectionner le plus fort pris en charge un dispositif d'authentification.

3. le client renvoie la requête avec un Authorization en-tête contenant un Type 1 message paramètre. Le message de Type 1 est codé Base-64 pour la transmission. À partir de ce moment, la connexion est maintenue ouverte; la fermeture de la connexion nécessite l'authentification des demandes ultérieures. Cela implique que le serveur et le client doivent prendre en charge les connexions persistantes, via L'en-tête "Keep-Alive" de type HTTP 1.0 ou HTTP 1.1 (dans lequel les connexions persistantes sont employées par défaut). Les en-têtes pertinents de la demande sont les suivants:

   GET /index.html HTTP/1.1
   Authorization: NTLM TlRMTVNTUAABAAAABzIAAAYABgArAAAACwALACAAAABXT1JLU1RBVElPTkRPTUFJTg==
   

4. Le serveur répond avec un 401 statut contenant un message de Type 2 dans le WWW-Authenticate en-tête (de nouveau encodé Base-64). Ceci est illustré ci-dessous.

   HTTP/1.1 401 Unauthorized
   WWW-Authenticate: NTLM TlRMTVNTUAACAAAADAAMADAAAAABAoEAASNFZ4mrze8AAAAAAAAAAGIAYgA8AAAARABPAE0AQQBJAE4AAgAMAEQATwBNAEEASQBOAAEADABTAEUAUgBWAEUAUgAEABQAZABvAG0AYQBpAG4ALgBjAG8AbQADACIAcwBlAHIAdgBlAHIALgBkAG8AbQBhAGkAbgAuAGMAbwBtAAAAAAA=
   

5. le client répond au message de Type 2 en renvoyant la demande avec un Authorization en-tête contenant une Base-64 encodée message de Type 3:

   GET /index.html HTTP/1.1
   Authorization: NTLM TlRMTVNTUAADAAAAGAAYAGoAAAAYABgAggAAAAwADABAAAAACAAIAEwAAAAWABYAVAAAAAAAAACaAAAAAQIAAEQATwBNAEEASQBOAHUAcwBlAHIAVwBPAFIASwBTAFQAQQBUAEkATwBOAMM3zVy9RPyXgqZnr21CfG3mfCDC0+d8ViWpjBwx6BhHRmspst9GgPOZWPuMITqcxg==
   

6. enfin, le serveur valide les réponses dans le message de Type 3 du client et permet l'accès à la ressource.

    HTTP/1.1 200 OK
   

Vous aurez à comprendre comment vous allez répondre à la contestation du message de Type 2, où le mot de passe de l'utilisateur est MD4 hashé et utilisé pour créer des clés DES pour crypter les données de challenge.

Je ne suis pas sûr comment vous obtiendriez l'accès aux données d'identification de l'utilisateur connecté qui vous permettrait d'accomplir ceci, mais je suis sûr que cela impliquerait d'écrire un C++ natif addon pour que vous puissiez parler à L'API Windows nécessaire. Ou, je suppose que vous pourriez demander le mot de passe utilisateur.

vous pouvez proxy de votre Nœud de demandes par le biais du logiciel qui gère le NTLM mess pour vous.