我有一些关于Windows Server 2008中的基本身份validation的问题。
我读过基本身份validation发送密码为纯文本,所以它是不安全的,但你可以结合使用SSL来提高安全性。 在这种情况下,基本身份validation与SSL和集成Windows身份validation之间有什么区别? 差异考虑安全(也是性能)。
Windows本地身份validation(基本)和应用程序身份validation之间有什么区别,就像大多数网站使用的一样? (即使在这里,安全和性能的差异)
谢谢
是的,基本身份validation以纯文本forms发送密码。 如果您的网站通过SSL运行,则会使所有通信(包括基本身份validation)都安全。
集成Windows身份validation只是指IIS将检查任何传入的用户名/密码组合对Windows用户(域和/或本地用户),而不是检查其他商店。 您可以使用集成身份validation与传输凭据的基本(纯文本)或摘要(md5散列)样式。 后者更安全,因为实际密码不被传送。
除非你正在运行一个内部网站,你的客户端已经使用相同的Windows域进行了authentication,否则我会避免使用集成Windowsauthentication。
应用程序validation基本上意味着您在脚本/ Web应用程序中自己进行validation。 这通常涉及以正常的html格式收集用户名和密码,根据数据库检查用户名/密码,并设置一个会话值指示客户端已被authentication。 这是一种便携式方法,因为它不需要为您的客户设置任何Windows用户。 login表单应该通过SSL运行,因为表单将以明文forms传递密码字段。
使用基本身份validation,用户可以从凭据中popup询问,然后使用纯文本发送到服务器,所以除非您使用SSL,否则可以捕获这些信息。
使用集成的Windows身份validation,浏览器会自动向服务器发送用户当前login到Windows的凭据; 这些凭证不是使用纯文本发送的,但是这当然只有在服务器和客户端在同一个域中时才有意义。
应用程序authentication(基本上)是使用HTTP POST请求提交的HTML表单; 这也使用纯文本,所以它是不安全的,除非用SSL保护。