[VB.NET] サーバーにあるファイルをユーザーを偽装して取得する

2021年10月7日

サーバーにあるファイルをユーザー偽装して取得するサンプルです。
REST API⑧ Web APIでファイルをダウンロードするで作成したサンプルに、ユーザーを偽装する処理を追加しています。
※ VisualStudio2019

ユーザーを偽装する処理を追加

例えば、Webアプリケーションからファイルをダウンロードや表示をさせる場合に、ファイルが別のサーバーに保存されていて、しかもアクセス権を持ったユーザーしか閲覧できないディレクトリに保管されている場合があります。
誰でも見れるところにファイルを移動してもらえればよいのですが、対応してもらえないことも多々あります。
そういった場合に、アクセス権のあるユーザーに偽装してファイルを取得することになります。

Microsoftのトラブルシューティングにいくつか紹介されている解決策のうち、コードで特定ユーザーに偽装する方法で実装してみます。

コード

Imports System.Net
Imports System.Web.Http

Namespace Controllers
    Public Class ApiTestController
        Inherits ApiController

        Private LOGON32_LOGON_INTERACTIVE As Integer = 2
        Private LOGON32_PROVIDER_DEFAULT As Integer = 0
        Private impersonationContext As System.Security.Principal.WindowsImpersonationContext

        Declare Function LogonUserA Lib "advapi32.dll" (ByVal lpszUsername As String,
                        ByVal lpszDomain As String,
                        ByVal lpszPassword As String,
                        ByVal dwLogonType As Integer,
                        ByVal dwLogonProvider As Integer,
                        ByRef phToken As IntPtr) As Integer

        Declare Auto Function DuplicateToken Lib "advapi32.dll" (
                        ByVal ExistingTokenHandle As IntPtr,
                        ByVal ImpersonationLevel As Integer,
                        ByRef DuplicateTokenHandle As IntPtr) As Integer

        Declare Auto Function RevertToSelf Lib "advapi32.dll" () As Long
        Declare Auto Function CloseHandle Lib "kernel32.dll" (ByVal handle As IntPtr) As Long

        ''' <summary>
        ''' ユーザーを偽装する
        ''' </summary>
        ''' <param name="domain">ドメイン名</param>
        ''' <param name="userName">ユーザー名</param>
        ''' <param name="password">パスワード</param>
        ''' <returns></returns>
        Private Function impersonateValidUser(ByVal domain As String, ByVal userName As String, ByVal password As String) As Boolean

            Dim tempWindowsIdentity As System.Security.Principal.WindowsIdentity
            Dim token As IntPtr = IntPtr.Zero
            Dim tokenDuplicate As IntPtr = IntPtr.Zero
            impersonateValidUser = False

            If RevertToSelf() Then
                If LogonUserA(userName, domain, password, LOGON32_LOGON_INTERACTIVE, LOGON32_PROVIDER_DEFAULT, token) <> 0 Then
                    If DuplicateToken(token, 2, tokenDuplicate) <> 0 Then
                        tempWindowsIdentity = New System.Security.Principal.WindowsIdentity(tokenDuplicate)
                        impersonationContext = tempWindowsIdentity.Impersonate()
                        If Not impersonationContext Is Nothing Then
                            impersonateValidUser = True
                        End If
                    End If
                End If
            End If
            If Not tokenDuplicate.Equals(IntPtr.Zero) Then
                CloseHandle(tokenDuplicate)
            End If
            If Not token.Equals(IntPtr.Zero) Then
                CloseHandle(token)
            End If
        End Function

        ''' <summary>
        ''' 偽装を解除する
        ''' </summary>
        Private Sub undoImpersonation()
            impersonationContext.Undo()
        End Sub
        '========================================================================================


        ' GET: api/ApiTest
        Public Function GetValues(ByVal value As System.Net.Http.HttpRequestMessage) As IEnumerable(Of String)
            Return New String() {"value1", "value2"}
        End Function

        ' GET: api/ApiTest/5
        Public Function GetValue(ByVal id As Integer) As String
            Return "value"
        End Function

        ' POST: api/ApiTest
        Public Sub PostValue(<FromBody()> ByVal value As String)

        End Sub

        ' PUT: api/ApiTest/5
        Public Sub PutValue(ByVal id As Integer, <FromBody()> ByVal value As String)

        End Sub

        ' DELETE: api/ApiTest/5
        Public Sub DeleteValue(ByVal id As Integer)

        End Sub


        ' GET: api/ApiTest/GetCsvFile
        <HttpGet>
        <ActionName("GetCsvFile")>
        Public Function GetCsvFile(ByVal value As System.Net.Http.HttpRequestMessage) As System.Net.Http.HttpResponseMessage

            '別サーバーのCSVファイルのパス
            Dim path As String
            path = "(別サーバーのファイルが保存されているパス)\Test.csv"

            Dim bytes() As Byte
            Dim ret As System.Net.Http.HttpResponseMessage
            Dim anther_user As String
            Dim anther_pass As String
            Dim anther_domain As String

            '別サーバーにログインできるユーザー情報
            anther_domain = "domain1"
            anther_user = "user1"
            anther_pass = "password1"

            '別サーバーにログインできるユーザーに偽装
            If impersonateValidUser(anther_domain, anther_user, anther_pass) Then
                'ファイルを読み込む
                bytes = System.IO.File.ReadAllBytes(path)

                '偽装を終了
                undoImpersonation()


                'レスポンスメッセージ作成
                ret = New System.Net.Http.HttpResponseMessage(HttpStatusCode.OK)

                'コンテンツ
                ret.Content = New System.Net.Http.ByteArrayContent(bytes)

                'ファイル名
                ret.Content.Headers.ContentDisposition = New Http.Headers.ContentDispositionHeaderValue("attachment")
                ret.Content.Headers.ContentDisposition.FileName = "Test.csv"

                'コンテンツタイプ
                ret.Content.Headers.ContentType = New System.Net.Http.Headers.MediaTypeHeaderValue("text/csv")

            Else
                'レスポンスメッセージ作成
                ret = New System.Net.Http.HttpResponseMessage(HttpStatusCode.InternalServerError)
            End If

            Return ret
        End Function

    End Class
End Namespace

このサンプルではWeb APIでファイルを取得していますが、WindowアプリでもConsoleアプリでも同じ方法でユーザーを偽装することができます。