Механизм Windows-аутентификации

Когда вы реализуете Windows-аутентификацию, IIS использует одну из трех возможных стратегий аутентификации для обработки каждого из принимаемых запросов:

• Базовая аутентификация (Basic). Имя и пароль пользователя пересылаются в виде открытого текста. Это единственная форма аутентификации, поддерживаемая всеми браузерами как часть стандарта HTML.
• Дайджест-аутентификация (Digest). Имя и пароль пользователя не передаются. Вместо этого передается зашифрованный хеш-код с этой информацией.
• Интегрированная Windows-аутентификация. Имя и пароль пользователя не передаются. Вместо этого автоматически передается личность пользователя, уже вошедшего в систему Windows, в виде маркера. Это единственная форма аутентификации, которая выполняется прозрачно (без вмешательства пользователя).

В следующих разделах мы поговорим обо всех этих вариантах.

На заметку! Существуют и другие, реже используемые протоколы Windows-аутентификации. Одним из примеров может служить аутентификация на базе сертификатов. Если вы применяете этот подход, то должны распространить цифровой сертификат на каждый клиент и отобразить каждый сертификат на соответствующую учетную запись Windows. К сожалению, эта техника сопряжена со сложностями административного характера и сложностями развертывания. Кроме того, IIS 6.0 поддерживает аутентификацию Advanced Digest (которая работает, по сути, так же, как дайджест-аутентификация, но сохраняет пароли более надежно) и Passport-аутентификацию, позволяющую пользователю регистрироваться, применяя учетную запись Passport, которая отображается на учетную запись пользователя Windows.

Базовая аутентификация

Наиболее широко поддерживаемый протокол аутентификации — базовая (Basic) аутентификация. Практически все Web-браузеры ее поддерживают. Когда Web-сайт запрашивает аутентификацию пользователя, применяя базовую аутентификацию, то Web-браузер отображает диалоговое окно регистрации для ввода имени и пароля, подобное тому, которое показано на рис. 22.2.

После того, как пользователь введет эту информацию, данные передаются на Web-сервер (в данном случае — localhost). Как только IIS принимает данные для аутентификации, он пытается выполнить ее по соответствующей пользовательской учетной записи Windows.

Ключевое ограничение Basic-аутентификации состоит в том, что она небезопасна — по крайней мере, сама по себе. Имя пользователя и пароль, полученные при Basic-аутентификации, передаются между клиентом и сервером в виде простого текста. Сами данные кодируются (но не шифруются) в строку Base64, которую злоумышленники могут легко прочитать. По этой причине вы должны применять Basic-аутентификацию только в тех случаях, когда нет необходимости защищать пользовательские удостоверения или когда применяются протоколы шифрования HTTP, такие как SSL.

предыдущая    следующая страница    вначало главы    оглавление

900