А лучше всего то, что в зависимости от используемых настроек и сетевой архитектуры, можно представить "незаметную" аутентификацию, работающую без необходимости в дополнительном шаге регистрации при входе в приложение. Вместо этого браузер просто использует личность текущего пользователя операционной системы.

Третья причина применения Windows-ayтeнтификaции состоит в том, что она позволяет вам воспользоваться преимуществами существующих настроек безопасности Windows. Например, вы можете контролировать доступ к файлам, настраивая права доступа к файлам самой Windows. Однако важно помнить, что эти права доступа не дают автоматического эффекта. Это объясняется тем, что по умолчанию ваше Web-приложение запускается, используя предопределенную учетную запись (обычно ASPNET, как указано в файле machine.config). Вы можете изменить это поведение, осторожно применяя аутентификацию Windows и заимствование прав, как описано в разделе настоящей главы "Заимствование прав и делегирование в Windows Server 2003".

Когда не следует использовать Windows-аутентификацию?

Итак, почему вы можете не захотеть воспользоваться преимуществами Windows-аутентификации?

• Она привязана к пользователям Windows.
• Она привязана к клиентским машинам Windows.
• Она не обеспечивает достаточной гибкости или управляемости, а потому не может легко настраиваться.

Первая проблема состоит в том, что Windows-аутентификация не будет работать, если только аутентифицируемые вами пользователи не имеют учетных записей в Windows. На публичных Web-сайтах скорее всего именно так и бывает. Даже если вы сможете создать учетную запись Windows для каждого посетителя, с большим количеством пользователей это не будет работать настолько эффективно, как подход на основе базы данных. К тому же чревато потенциальным риском для безопасности, поскольку пользовательские учетные записи Windows могут иметь излишние права на компьютере Web-сервера или на других сетевых компьютерах. Вероятно, вы не захотите рисковать, открывая доступ к ним пользователям Web-сайта.

Вторая проблема связана с тем, что некоторые методы аутентификации, используемые IIS, требуют наличия на компьютерах пользователей некоторого совместимого программного обеспечения. Это ограничивает ваши возможности применять Windows-аутентификацию для тех пользователей, которые работают в других, отличных от Microsoft операционных системах, либо для пользователей, не использующих браузер Internet Explorer.

И последняя из главных проблем в том, что Windows-аутентификация не предоставляет никакого контроля над процессом аутентификации. К тому же вы не имеете, простого способа для добавления, удаления и управления информацией об учетных записях Windows программным путем или для сохранения другой специфичной для пользователя информации вместе с его удостоверением. Как вы узнали из предыдущей главы, все эти средства легко реализуются в аутентификации форм, но не обеспечиваются Windows-аутентификацией.

предыдущая    следующая страница    вначало главы    оглавление

899