我们公司有两种不同types的网站,其中一种是面向公众的网站,用户不需要基于服务器的身份validation(匿名身份validation)就可以访问我们公司员工需要访问的其他网站。 这些员工为我们的对外服务工作,需要连接到来自全国各地的这些网站。 我将这两种不同的网站分成两个不同的IIS 8.5服务器。
我现在所关心的是我们内部网站上的用户身份validation以及想要通过powershell访问这些网站的可能的入侵者。
我读了关于摘要,基本和Windowsauthentication。
据我所知,摘要authentication工作速度最快,所需的服务器资源比其他authentication方法less。 但是为了进行摘要authentication,服务器需要在一个域中,因为它需要从域控制器获得一个散列。 我也读过这是不可能的,委托通过digestauth收到的用户凭证到特定的网站。 就像用户需要在网站内的login屏幕上进行身份validation一样,在访问服务器时不能拿到他通过的凭据,并将其作为网站login名。 由于我不希望我的用户两次authentication自己,如果我正确地理解了这个authentication方法,那么这个authentication方法就不适合我的需求。
基本身份validation通过base64“encryption”以纯文本forms发送密码。 这也不是很安全,因为入侵者可以简单地捕获这些证书。
Windows身份validation应该比基本身份validation更安全一些,Web服务器不需要在域中,但所有需要身份validation的用户都需要位于Web服务器上的用户组中。 我不知道这个方法是如何编码的。
我的问题是,从安全的angular度来看,对于我的内部网站,您build议使用哪种身份validation方法。
注意:我们使用SSL(HTTPS)为所有我们的网站,内部和公众面对。