Windows
有關 windows 基本身份驗證的資訊
我對 Windows Server 2008 中的基本身份驗證有一些疑問。
我讀到基本身份驗證以純文字形式發送密碼,因此它不安全,但您可以將其與 SSL 結合使用以提高安全性。在這種情況下,使用 SSL 的基本身份驗證和集成 Windows 身份驗證之間有什麼區別?考慮到安全性(以及性能)的差異。
Windows本機身份驗證(基本)和應用程序身份驗證之間有什麼區別,就像大多數網站使用的一樣?(即使在這裡,安全性和性能的差異)
謝謝
是的,基本身份驗證以純文字形式發送密碼。如果您的網站通過 SSL 執行,那麼這會使所有通信(包括基本身份驗證)安全。
集成 Windows 身份驗證只是指 IIS 將針對 Windows 使用者(域和/或本地使用者)檢查任何傳入的使用者名/密碼組合,而不是檢查其他一些儲存。您可以將集成身份驗證與基本(純文字)或摘要(md5 雜湊)樣式傳輸憑證一起使用。後者更安全,因為不傳輸實際密碼。
除非您正在執行一個 Intranet 站點,您的客戶端已經使用相同的 Windows 域進行了身份驗證,否則我會避免使用集成 Windows 身份驗證。
應用程序身份驗證基本上意味著您自己在腳本/Web 應用程序中進行身份驗證。這通常涉及以普通 html 形式收集使用者名和密碼,根據您的數據庫檢查使用者名/密碼,並設置會話值以指示客戶端已通過身份驗證。這是一種可移植的方法,因為它不需要為您的客戶端設置任何 Windows 使用者。登錄表單應通過 SSL 執行,因為表單將以純文字形式傳遞密碼欄位。