Web身份驗(yàn)證工作原理
web身份驗(yàn)證用于web瀏覽器和web服務(wù)器之間的通信,通信流程如下所示:
1��、Web瀏覽器向Web服務(wù)器發(fā)起請(qǐng)求
2��、Web服務(wù)器執(zhí)行身份驗(yàn)證檢查�。如果身份驗(yàn)證不成功服務(wù)器會(huì)返回與以下類似的錯(cuò)誤信息
· 您沒有權(quán)限查看此網(wǎng)頁(yè)
· 您無(wú)權(quán)使用您提供的憑據(jù)查看此目錄或頁(yè),Web瀏覽器可使用此消息中提供的信息�����,將該請(qǐng)求作為身份驗(yàn)證的請(qǐng)求重新提交
3�����、Web瀏覽器使用服務(wù)器的響應(yīng)來(lái)構(gòu)建包含身份驗(yàn)證信息的新請(qǐng)求
4��、Web服務(wù)器執(zhí)行身份驗(yàn)證檢查��。如果檢查成功�����,Web服務(wù)器將最初請(qǐng)求的數(shù)據(jù)發(fā)回Web瀏覽器
身份驗(yàn)證方法
��、匿名身份驗(yàn)證
匿名身份驗(yàn)證使用戶無(wú)需輸入用戶名或密碼便可以訪問Web或FTP站點(diǎn)的公共區(qū)域�����。當(dāng)用戶試圖連接到公共網(wǎng)站或FTP站點(diǎn)時(shí),Web服務(wù)器將連接分配給Windows用戶賬戶IUSR_computername(此處 computername 是運(yùn)行 IIS 所在的計(jì)算機(jī)的名稱�,默認(rèn)情況下,IUSR_computername 帳戶包含在 Windows 用戶組 Guests 中)
IUSR_computername賬戶
1)在安裝過程中��,將 IUSR_computername 帳戶添加到運(yùn)行 IIS 的計(jì)算機(jī)上的 Guests 組中�。
2)在收到請(qǐng)求時(shí),IIS 在運(yùn)行任何代碼之前先模擬 IUSR_computername 帳戶�。IIS 可以模擬 IUSR_computername 帳戶,因?yàn)?/span> IIS 知道該帳戶的用戶名和密碼�����。
3)在將頁(yè)面返回到客戶端之前���,IIS 檢查 NTFS 文件和目錄權(quán)限�����,查看是否允許 IUSR_computername 帳戶訪問該文件��。
4)如果允許訪問�����,則訪問進(jìn)程(也稱為“授權(quán)”)完成并給用戶提供這些資源�����。
5)如果不允許訪問��,IIS 將嘗試使用其他驗(yàn)證方法��。如果沒有作出任何選擇�����,IIS 則向?yàn)g覽器返回“HTTP 403 訪問被拒絕”錯(cuò)誤消息���。
注意
如果啟用了匿名驗(yàn)證,則 IIS 始終嘗試先使用匿名驗(yàn)證對(duì)用戶進(jìn)行驗(yàn)證�����,即使啟用了其他驗(yàn)證方法�,也是如此?���?梢栽?/span> Web 服務(wù)器的服務(wù)級(jí)別或單獨(dú)虛擬目錄和文件級(jí)別更改用于 IIS 管理器中匿名驗(yàn)證的帳戶�。
��、基本身份驗(yàn)證
基本身份驗(yàn)證通過收集用戶名和密碼等信息進(jìn)行身份驗(yàn)證
驗(yàn)證過程
1)Internet Explorer Web瀏覽器顯示一個(gè)對(duì)話框��,以使用戶輸入先前分配的Windows賬戶用戶名和密碼(憑據(jù))
2)Web瀏覽器試圖使用用戶憑據(jù)與服務(wù)器建立連接�,在通過網(wǎng)絡(luò)放送明文密碼之前該密碼采用Base64編碼
3)如果用戶憑據(jù)被拒絕,則Internet Explorer顯示一個(gè)身份驗(yàn)證對(duì)話框以重新輸入用戶憑據(jù)�。Internet Explore允許用戶進(jìn)行三次連接嘗試,之后連接就會(huì)失敗并對(duì)用戶報(bào)告錯(cuò)誤
4)如果Web服務(wù)器證實(shí)用戶名和密碼與有效Microsoft Windows用戶賬戶相符�����,則建立連接
優(yōu)點(diǎn)
基本身份驗(yàn)證的優(yōu)點(diǎn)在于����,它是HTTP規(guī)范的一部分,并且大多數(shù)瀏覽器均支持該驗(yàn)證
缺點(diǎn)
Web瀏覽器使用基本身份驗(yàn)證是以未加密的形式傳輸密碼的��,通過監(jiān)視網(wǎng)絡(luò)上的通信����,攻擊者或惡意用戶可以使用常見工具很容易的截取和解密這些密碼。因此����,不建議使用基本身份驗(yàn)證����,除非確信用戶和Web服務(wù)器之間的連接是安全的�,如專線或安全套接字層(SSL)連接
、摘要式身份驗(yàn)證
摘要式身份驗(yàn)證提供與基本身份驗(yàn)證相同的功能���。但是,摘要式身份驗(yàn)證在通過網(wǎng)絡(luò)發(fā)送用戶憑據(jù)方面提高了安全性����,摘要式身份驗(yàn)證將憑據(jù)作為MD5哈希或消息摘要在網(wǎng)絡(luò)上傳送(無(wú)法從哈希中解密原始的用戶名和密碼)
摘要式身份驗(yàn)證的要求
在IIS服務(wù)器上啟用摘要式身份驗(yàn)證之前����,必須滿足以下最低要求,只有域管理員才能驗(yàn)證是否打到域控制器要求�����。如果不知道域控制器是否達(dá)到以下要求��,請(qǐng)與域管理員聯(lián)系�。
1)所有訪問使用摘要式身份驗(yàn)證保護(hù)的資源的客戶端使用Internet Explorer 5或更高版本
2)用戶和運(yùn)行IIS的服務(wù)器必須是同一域的成員,或者由同一域信任
3)用戶必須將有效的Windows用戶賬戶存儲(chǔ)在域控制器的Activity Directory中
4)域必須擁有運(yùn)行Windows 2000或更高版本的域控制器
5)運(yùn)行IIS的計(jì)算機(jī)必須安裝了Windows 2000或更高版本
、.NET Passport身份驗(yàn)證
Microsoft .NET Passport是一種用戶身份驗(yàn)證服務(wù)�����,站點(diǎn)用戶可使用該服務(wù)創(chuàng)建單次登錄名和密碼��,從而方便地訪問所有啟用.NET Passport的網(wǎng)站和服務(wù)�。啟用.NET Passport的站點(diǎn)依靠.NET Passport中央服務(wù)器來(lái)驗(yàn)證用戶,而不是主持和維護(hù)它們自己的專用身份驗(yàn)證系統(tǒng)�����。但是.NET Passport中央服務(wù)器并不授權(quán)或拒絕特定用戶訪問單個(gè)啟用.NET Passport的站點(diǎn)�����,而是由網(wǎng)站來(lái)控制用戶權(quán)限��。
.NET Passport也可以將用戶信息存儲(chǔ)在.NET Passport服務(wù)器上的加密配置文件(也稱為“注冊(cè)”)中���。當(dāng).NET Passport用戶注冊(cè)參與站點(diǎn)時(shí)�����,就會(huì)與該站點(diǎn)共享個(gè)人信息以加快注冊(cè)過程����,當(dāng).NET Passport用戶再次登錄到該站點(diǎn)時(shí),其.NET Passport配置文件可允許訪問該站點(diǎn)上的個(gè)人賬戶或服務(wù)��。
.NET Passport單次登錄服務(wù)與當(dāng)前Web上基于表單的常用身份驗(yàn)證模型類似����。.NET Passport網(wǎng)絡(luò)拓展了這種模型以用于一組分布式的站點(diǎn),同時(shí)有助于保留成員的保密性和安全性以及適當(dāng)自定義和署名登錄的功能�。
、客戶證書驗(yàn)證
客戶證書映射是一種在證書和用戶賬戶之間創(chuàng)建映射的方式����。在此模型中���,用戶提供一個(gè)證書��,系統(tǒng)檢查此映射以確定應(yīng)登錄到哪個(gè)用戶賬戶�。
映射方式
1)使用Active Directory的客戶端證書映射身份驗(yàn)證�����。此身份驗(yàn)證方法要求 IIS 7 服務(wù)器是 Active Directory 域的成員�,并且用戶帳戶存儲(chǔ)在 Active Directory 中。 由于到 Active Directory 服務(wù)器的往返,這種客戶端證書身份驗(yàn)證方法降低了性能����。
2)IIS客戶端證書映射身份驗(yàn)證。此身份驗(yàn)證方法不需要 Active Directory�����,因此適用于獨(dú)立服務(wù)器����。 此客戶端證書身份驗(yàn)證方法提高了性能,但需要更多的配置��,并且需要訪問客戶端證書才能創(chuàng)建映射�����。
該文章在 2024/3/5 14:58:38 編輯過
400 186 1886
