Web身份驗(yàn)證工作原理
web身份驗(yàn)證用于web瀏覽器和web服務(wù)器之間的通信��,通信流程如下所示:
1�����、Web瀏覽器向Web服務(wù)器發(fā)起請(qǐng)求
2����、Web服務(wù)器執(zhí)行身份驗(yàn)證檢查。如果身份驗(yàn)證不成功服務(wù)器會(huì)返回與以下類似的錯(cuò)誤信息
· 您沒(méi)有權(quán)限查看此網(wǎng)頁(yè)
· 您無(wú)權(quán)使用您提供的憑據(jù)查看此目錄或頁(yè)���,Web瀏覽器可使用此消息中提供的信息�,將該請(qǐng)求作為身份驗(yàn)證的請(qǐng)求重新提交
3��、Web瀏覽器使用服務(wù)器的響應(yīng)來(lái)構(gòu)建包含身份驗(yàn)證信息的新請(qǐng)求
4��、Web服務(wù)器執(zhí)行身份驗(yàn)證檢查��。如果檢查成功����,Web服務(wù)器將最初請(qǐng)求的數(shù)據(jù)發(fā)回Web瀏覽器
身份驗(yàn)證方法
、匿名身份驗(yàn)證
匿名身份驗(yàn)證使用戶無(wú)需輸入用戶名或密碼便可以訪問(wèn)Web或FTP站點(diǎn)的公共區(qū)域�����。當(dāng)用戶試圖連接到公共網(wǎng)站或FTP站點(diǎn)時(shí),Web服務(wù)器將連接分配給Windows用戶賬戶IUSR_computername(此處 computername 是運(yùn)行 IIS 所在的計(jì)算機(jī)的名稱���,默認(rèn)情況下����,IUSR_computername 帳戶包含在 Windows 用戶組 Guests 中)
IUSR_computername賬戶
1)在安裝過(guò)程中���,將 IUSR_computername 帳戶添加到運(yùn)行 IIS 的計(jì)算機(jī)上的 Guests 組中����。
2)在收到請(qǐng)求時(shí)����,IIS 在運(yùn)行任何代碼之前先模擬 IUSR_computername 帳戶�。IIS 可以模擬 IUSR_computername 帳戶,因?yàn)?/span> IIS 知道該帳戶的用戶名和密碼�����。
3)在將頁(yè)面返回到客戶端之前��,IIS 檢查 NTFS 文件和目錄權(quán)限�����,查看是否允許 IUSR_computername 帳戶訪問(wèn)該文件。
4)如果允許訪問(wèn)����,則訪問(wèn)進(jìn)程(也稱為“授權(quán)”)完成并給用戶提供這些資源。
5)如果不允許訪問(wèn)���,IIS 將嘗試使用其他驗(yàn)證方法�。如果沒(méi)有作出任何選擇�,IIS 則向?yàn)g覽器返回“HTTP 403 訪問(wèn)被拒絕”錯(cuò)誤消息。
注意
如果啟用了匿名驗(yàn)證����,則 IIS 始終嘗試先使用匿名驗(yàn)證對(duì)用戶進(jìn)行驗(yàn)證,即使啟用了其他驗(yàn)證方法�����,也是如此���?����?梢栽?/span> Web 服務(wù)器的服務(wù)級(jí)別或單獨(dú)虛擬目錄和文件級(jí)別更改用于 IIS 管理器中匿名驗(yàn)證的帳戶�����。
�、基本身份驗(yàn)證
基本身份驗(yàn)證通過(guò)收集用戶名和密碼等信息進(jìn)行身份驗(yàn)證
驗(yàn)證過(guò)程
1)Internet Explorer Web瀏覽器顯示一個(gè)對(duì)話框,以使用戶輸入先前分配的Windows賬戶用戶名和密碼(憑據(jù))
2)Web瀏覽器試圖使用用戶憑據(jù)與服務(wù)器建立連接���,在通過(guò)網(wǎng)絡(luò)放送明文密碼之前該密碼采用Base64編碼
3)如果用戶憑據(jù)被拒絕����,則Internet Explorer顯示一個(gè)身份驗(yàn)證對(duì)話框以重新輸入用戶憑據(jù)��。Internet Explore允許用戶進(jìn)行三次連接嘗試�,之后連接就會(huì)失敗并對(duì)用戶報(bào)告錯(cuò)誤
4)如果Web服務(wù)器證實(shí)用戶名和密碼與有效Microsoft Windows用戶賬戶相符����,則建立連接
優(yōu)點(diǎn)
基本身份驗(yàn)證的優(yōu)點(diǎn)在于,它是HTTP規(guī)范的一部分���,并且大多數(shù)瀏覽器均支持該驗(yàn)證
缺點(diǎn)
Web瀏覽器使用基本身份驗(yàn)證是以未加密的形式傳輸密碼的����,通過(guò)監(jiān)視網(wǎng)絡(luò)上的通信,攻擊者或惡意用戶可以使用常見(jiàn)工具很容易的截取和解密這些密碼���。因此����,不建議使用基本身份驗(yàn)證�����,除非確信用戶和Web服務(wù)器之間的連接是安全的����,如專線或安全套接字層(SSL)連接
、摘要式身份驗(yàn)證
摘要式身份驗(yàn)證提供與基本身份驗(yàn)證相同的功能�。但是,摘要式身份驗(yàn)證在通過(guò)網(wǎng)絡(luò)發(fā)送用戶憑據(jù)方面提高了安全性�����,摘要式身份驗(yàn)證將憑據(jù)作為MD5哈?���;蛳⒄诰W(wǎng)絡(luò)上傳送(無(wú)法從哈希中解密原始的用戶名和密碼)
摘要式身份驗(yàn)證的要求
在IIS服務(wù)器上啟用摘要式身份驗(yàn)證之前,必須滿足以下最低要求����,只有域管理員才能驗(yàn)證是否打到域控制器要求����。如果不知道域控制器是否達(dá)到以下要求��,請(qǐng)與域管理員聯(lián)系�����。
1)所有訪問(wèn)使用摘要式身份驗(yàn)證保護(hù)的資源的客戶端使用Internet Explorer 5或更高版本
2)用戶和運(yùn)行IIS的服務(wù)器必須是同一域的成員�����,或者由同一域信任
3)用戶必須將有效的Windows用戶賬戶存儲(chǔ)在域控制器的Activity Directory中
4)域必須擁有運(yùn)行Windows 2000或更高版本的域控制器
5)運(yùn)行IIS的計(jì)算機(jī)必須安裝了Windows 2000或更高版本
���、.NET Passport身份驗(yàn)證
Microsoft .NET Passport是一種用戶身份驗(yàn)證服務(wù)�,站點(diǎn)用戶可使用該服務(wù)創(chuàng)建單次登錄名和密碼����,從而方便地訪問(wèn)所有啟用.NET Passport的網(wǎng)站和服務(wù)�����。啟用.NET Passport的站點(diǎn)依靠.NET Passport中央服務(wù)器來(lái)驗(yàn)證用戶,而不是主持和維護(hù)它們自己的專用身份驗(yàn)證系統(tǒng)�。但是.NET Passport中央服務(wù)器并不授權(quán)或拒絕特定用戶訪問(wèn)單個(gè)啟用.NET Passport的站點(diǎn),而是由網(wǎng)站來(lái)控制用戶權(quán)限�����。
.NET Passport也可以將用戶信息存儲(chǔ)在.NET Passport服務(wù)器上的加密配置文件(也稱為“注冊(cè)”)中����。當(dāng).NET Passport用戶注冊(cè)參與站點(diǎn)時(shí),就會(huì)與該站點(diǎn)共享個(gè)人信息以加快注冊(cè)過(guò)程�,當(dāng).NET Passport用戶再次登錄到該站點(diǎn)時(shí),其.NET Passport配置文件可允許訪問(wèn)該站點(diǎn)上的個(gè)人賬戶或服務(wù)���。
.NET Passport單次登錄服務(wù)與當(dāng)前Web上基于表單的常用身份驗(yàn)證模型類似�。.NET Passport網(wǎng)絡(luò)拓展了這種模型以用于一組分布式的站點(diǎn)�����,同時(shí)有助于保留成員的保密性和安全性以及適當(dāng)自定義和署名登錄的功能��。
���、客戶證書驗(yàn)證
客戶證書映射是一種在證書和用戶賬戶之間創(chuàng)建映射的方式�����。在此模型中����,用戶提供一個(gè)證書,系統(tǒng)檢查此映射以確定應(yīng)登錄到哪個(gè)用戶賬戶���。
映射方式
1)使用Active Directory的客戶端證書映射身份驗(yàn)證���。此身份驗(yàn)證方法要求 IIS 7 服務(wù)器是 Active Directory 域的成員,并且用戶帳戶存儲(chǔ)在 Active Directory 中��。 由于到 Active Directory 服務(wù)器的往返����,這種客戶端證書身份驗(yàn)證方法降低了性能。
2)IIS客戶端證書映射身份驗(yàn)證�。此身份驗(yàn)證方法不需要 Active Directory,因此適用于獨(dú)立服務(wù)器���。 此客戶端證書身份驗(yàn)證方法提高了性能,但需要更多的配置�,并且需要訪問(wèn)客戶端證書才能創(chuàng)建映射�。
該文章在 2024/3/5 14:58:38 編輯過(guò)
400 186 1886
