Web網(wǎng)站身份驗(yàn)證簡介

??? 身份驗(yàn)證是驗(yàn)證客戶端訪問Web網(wǎng)站身份的行為。一般情況下，客戶端端必須提供某些證據(jù)，一般稱為憑據(jù)，來證明其身份。

??? 通常，憑據(jù)包括用戶名和密碼，Internet信息服務(wù)（IIS）和ASP.NET都提供如下幾種身份驗(yàn)證方案。

1、匿名身份驗(yàn)證
匿名身份驗(yàn)證可使用戶訪問Web站點(diǎn)的公共區(qū)域，不提示用戶輸入用戶名和密碼。iis使用特定用戶賬戶（IUSR_計(jì)算機(jī)名）將存儲好的憑據(jù)提供給Windows。默認(rèn)情況下,IIS控制此賬戶的密碼。

2．集成Windows身份驗(yàn)證
集成windows身份驗(yàn)證可使用NTLM或Kerberos V5身份驗(yàn)證。當(dāng)Intemet Explorer試圖訪問受保護(hù)的資源時，IIS發(fā)送Negotiate和NTLM兩個WWW身份驗(yàn)證頭；如果Intemet Explorer不能識別Negotiate，將使用NrLM；所使用的機(jī)制由Intemet Explorer與IIS之間協(xié)商決定。
集成windows身份驗(yàn)證是Internet環(huán)境中最好的身份驗(yàn)證方案，在這種方案下用戶擁有windows域賬戶。集成Windows身份驗(yàn)證與簡要身份驗(yàn)證一樣，不在網(wǎng)絡(luò)上傳遞用戶密碼，而是變換哈希值。

3．基本身份驗(yàn)證
IIS實(shí)現(xiàn)基本身份驗(yàn)證?；旧矸蒡?yàn)證是HTTP I.O規(guī)范的一部分，它使用Windows用戶賬戶。使用基本身份驗(yàn)證時，瀏覽器提示用戶輸入用戶名和密碼。然后此信息通過HTTP傳遞，在HTTP上使用Base64編碼方式將其編碼?；旧矸蒡?yàn)證還是有固有的不安全性。由于解碼Base64編碼數(shù)據(jù)很容易，因此基本身份驗(yàn)證實(shí)質(zhì)上就是將密碼作為純文本發(fā)送。默認(rèn)情況下，基本身份驗(yàn)證要求windows用戶賬戶具有Web服務(wù)器本地登錄權(quán)限。

4、摘要式身份驗(yàn)證
摘要式身份驗(yàn)證克服了基本身份驗(yàn)證以純文本形式發(fā)送密碼的主要弱點(diǎn)。摘要身份驗(yàn)證是一種質(zhì)詢/響應(yīng)機(jī)制，它在網(wǎng)上發(fā)送摘要（又稱為哈希）而非密碼。當(dāng)客戶端試圖訪問要求摘要身份驗(yàn)證的資源時，IIs向該客戶端發(fā)送一個質(zhì)詢，要求它創(chuàng)建一個摘要并將其發(fā)送到服務(wù)器?？蛻舳诉B接服務(wù)器和客戶端都知道的密碼和數(shù)據(jù)，然后將一個摘要算法（由服務(wù)器指定）應(yīng)用到該組合數(shù)據(jù)。
客戶端將獲得的摘要發(fā)送到服務(wù)器作為對質(zhì)詢的響應(yīng)。服務(wù)器利用從Active Directory獲得的客戶端密碼副本，使用與客戶端相同的過程創(chuàng)建摘要。在Active Directory中使用可逆加密方法保存密碼。如果服務(wù)器創(chuàng)建的摘要與客戶端創(chuàng)建的摘要相匹配，則IIS驗(yàn)證該客戶端的身份。

5．高級摘要式身份驗(yàn)證
高級摘要式身份驗(yàn)證是將用戶憑據(jù)作為MD5哈希存儲在域控制器中。因?yàn)閷{據(jù)作為MD5哈希存儲在Active Directory中，所以訪問域控制器的用戶根本無法發(fā)現(xiàn)用戶密碼，甚至域管理員也不能發(fā)現(xiàn)該密碼。在Web分布式創(chuàng)作和版本控制(WebDAV)目錄中可以使用高級摘要式身份驗(yàn)證。在IIS 6.0中，高級摘要式身份驗(yàn)證優(yōu)于摘要式身份驗(yàn)證，但仍然可以使用摘要式身份驗(yàn)證。
因?yàn)楦呒壵缴矸蒡?yàn)證依賴于HTTP1.1協(xié)議，所以并非所有的瀏覽器均支持這種驗(yàn)證。如果與HTTP1.1不兼容的瀏覽器從使用高級摘要式身份驗(yàn)證的服務(wù)器請求文件，則該服務(wù)器會要求客戶端提供高級摘要式身份驗(yàn)證憑據(jù)；與HTTP1.1不兼容的客戶端拒絕該請求，因?yàn)榭蛻舳瞬恢С指呒壵缴矸蒡?yàn)證。

6、證書身份驗(yàn)證
可以對兩種類型的驗(yàn)證使用Web服務(wù)器的安全套接字層(SSL)安全功能?？梢允褂谩胺?wù)器證書，允許用戶在傳送個人信息（如信用卡號碼）之前進(jìn)行網(wǎng)站驗(yàn)證。同樣，也可以使用“客
戶端證書”對請求網(wǎng)站信息的用戶進(jìn)行驗(yàn)證。
通過檢查登錄過程中用戶Web瀏覽器提交的加密數(shù)字標(biāo)識的內(nèi)容進(jìn)行SSL驗(yàn)證。服務(wù)器證書通常包含關(guān)于公司以及發(fā)證機(jī)構(gòu)的信息?？蛻舳俗C書通常包含關(guān)于用戶和發(fā)證機(jī)構(gòu)的識別信息。
因?yàn)樵L問文件等資源時需要使用Windows用戶賬戶，所以可以將客戶端證書映射到web服務(wù)器上的windows用戶賬戶。創(chuàng)建并啟用證書映射后，每次用戶使用客戶端證書登錄時，windows服務(wù)器就會自動將用戶與相應(yīng)的Windows用戶賬戶關(guān)聯(lián)起來。這樣，就可以自動驗(yàn)證使Windows證書登錄的用戶，而不必使用其他驗(yàn)證方法，如基本身份驗(yàn)證、摘要式身份驗(yàn)證或集成windows身份驗(yàn)證。
可以將一份客戶端證書映射到一個Windows用戶賬戶，或者將多個客戶端證書映射到一個賬戶。例如，在服務(wù)器上有幾個不同的部門或企業(yè)并且它們都有自己的網(wǎng)站，則可以使用多對一映射將每個部門或公司的所有客戶端證書映射到各自的網(wǎng)站。達(dá)樣，每個站點(diǎn)僅對自己的客戶提供訪問。

7、.NET Passport 身份驗(yàn)證