ASP.NET Core Http.Sys 请求队列安全属性配置指南

2025-05-03 17:32:39作者：段琳惟

项目地址：https://gitcode.com/gh_mirrors/aspnet/aspnetcore

在ASP.NET Core中使用Http.Sys服务器时，开发人员经常需要为创建的请求队列设置特定的安全属性。本文将详细介绍如何通过新增的API来配置Http.Sys请求队列的安全描述符。

背景介绍

Http.Sys是Windows平台上的一个高性能HTTP服务器，它作为Windows操作系统内核的一部分运行。当ASP.NET Core应用使用Http.Sys作为服务器时，它会自动创建一个请求队列来处理传入的HTTP请求。在某些企业级场景中，开发团队需要精确控制哪些用户或组可以访问这个请求队列。

新增API详解

最新版本的ASP.NET Core引入了一个新的配置选项，允许开发人员直接设置请求队列的安全描述符：

public class HttpSysOptions
{
    public GenericSecurityDescriptor? RequestQueueSecurityDescriptor { get; set; }
}

这个属性接受一个GenericSecurityDescriptor对象，它是System.Security.AccessControl命名空间中的一个类，用于表示安全描述符。

使用示例

下面是一个完整的使用示例，展示了如何创建一个安全描述符并应用到Http.Sys请求队列：

// 创建基础安全描述符
CommonSecurityDescriptor securityDescriptor = new CommonSecurityDescriptor(
    isContainer: false, 
    isDS: false, 
    controlFlags: 0, 
    owner: null, 
    group: null, 
    systemAcl: null, 
    discretionaryAcl: null);

// 创建并配置DACL（自主访问控制列表）
DiscretionaryAcl dacl = new DiscretionaryAcl(
    isContainer: false, 
    isDS: false, 
    capacity: 2);

// 允许内置用户访问
dacl.AddAccess(
    AccessControlType.Allow, 
    new SecurityIdentifier(WellKnownSidType.BuiltinUsersSid, null), 
    accessMask: -1, 
    InheritanceFlags.None, 
    PropagationFlags.None);

// 拒绝内置来宾账户访问
dacl.AddAccess(
    AccessControlType.Deny, 
    new SecurityIdentifier(WellKnownSidType.BuiltinGuestsSid, null), 
    accessMask: -1, 
    InheritanceFlags.None, 
    PropagationFlags.None);

// 将DACL应用到安全描述符
securityDescriptor.DiscretionaryAcl = dacl;

// 配置ASP.NET Core使用Http.Sys并设置安全描述符
var builder = WebApplication.CreateBuilder(args);
builder.WebHost.UseHttpSys(options =>
{
    options.RequestQueueName = "SecureQueue";
    options.RequestQueueSecurityDescriptor = securityDescriptor;
});

var app = builder.Build();

技术细节

安全描述符组成：
- 所有者SID：标识对象的所有者
- 主组SID：主要用于POSIX兼容性
- DACL：指定哪些用户/组可以访问对象及访问方式
- SACL：指定哪些访问尝试应生成审计记录
访问控制项类型：
- 允许访问(Allow)：明确授予特定权限
- 拒绝访问(Deny)：明确拒绝特定权限（优先级高于允许）
特殊注意事项：
- 安全描述符设置仅在创建新队列时生效
- 对现有队列修改需要管理员权限
- 在生产环境中应谨慎设置拒绝规则，避免意外锁定合法用户