Web身份驗證工作原理

web身份驗證用于web瀏覽器和web服務器之間的通信，通信流程如下所示：

1、Web瀏覽器向Web服務器發起請求

2、Web服務器執行身份驗證檢查。如果身份驗證不成功服務器會返回與以下類似的錯誤信息

·         您沒有權限查看此網頁

·         您無權使用您提供的憑據查看此目錄或頁，Web瀏覽器可使用此消息中提供的信息，將該請求作為身份驗證的請求重新提交

3、Web瀏覽器使用服務器的響應來構建包含身份驗證信息的新請求

4、Web服務器執行身份驗證檢查。如果檢查成功，Web服務器將最初請求的數據發回Web瀏覽器

身份驗證方法

、匿名身份驗證

匿名身份驗證使用戶無需輸入用戶名或密碼便可以訪問Web或FTP站點的公共區域。當用戶試圖連接到公共網站或FTP站點時，Web服務器將連接分配給Windows用戶賬戶IUSR_computername（此處 computername 是運行 IIS 所在的計算機的名稱，默認情況下，IUSR_computername 帳戶包含在 Windows 用戶組 Guests 中）

IUSR_computername賬戶

1）在安裝過程中，將 IUSR_computername 帳戶添加到運行 IIS 的計算機上的 Guests 組中。

2）在收到請求時，IIS 在運行任何代碼之前先模擬 IUSR_computername 帳戶。IIS 可以模擬 IUSR_computername 帳戶，因為 IIS 知道該帳戶的用戶名和密碼。

3）在將頁面返回到客戶端之前，IIS 檢查 NTFS 文件和目錄權限，查看是否允許 IUSR_computername 帳戶訪問該文件。

4）如果允許訪問，則訪問進程（也稱為“授權”）完成并給用戶提供這些資源。

5）如果不允許訪問，IIS 將嘗試使用其他驗證方法。如果沒有作出任何選擇，IIS 則向瀏覽器返回“HTTP 403 訪問被拒絕”錯誤消息。

注意

如果啟用了匿名驗證，則 IIS 始終嘗試先使用匿名驗證對用戶進行驗證，即使啟用了其他驗證方法，也是如此。可以在 Web 服務器的服務級別或單獨虛擬目錄和文件級別更改用于 IIS 管理器中匿名驗證的帳戶。

、基本身份驗證

基本身份驗證通過收集用戶名和密碼等信息進行身份驗證

驗證過程

1）Internet Explorer Web瀏覽器顯示一個對話框，以使用戶輸入先前分配的Windows賬戶用戶名和密碼（憑據）

2）Web瀏覽器試圖使用用戶憑據與服務器建立連接，在通過網絡放送明文密碼之前該密碼采用Base64編碼

3）如果用戶憑據被拒絕，則Internet Explorer顯示一個身份驗證對話框以重新輸入用戶憑據。Internet Explore允許用戶進行三次連接嘗試，之后連接就會失敗并對用戶報告錯誤

4）如果Web服務器證實用戶名和密碼與有效Microsoft Windows用戶賬戶相符，則建立連接

優點

基本身份驗證的優點在于，它是HTTP規范的一部分，并且大多數瀏覽器均支持該驗證

缺點

Web瀏覽器使用基本身份驗證是以未加密的形式傳輸密碼的，通過監視網絡上的通信，攻擊者或惡意用戶可以使用常見工具很容易的截取和解密這些密碼。因此，不建議使用基本身份驗證，除非確信用戶和Web服務器之間的連接是安全的，如專線或安全套接字層（SSL）連接

、摘要式身份驗證

摘要式身份驗證提供與基本身份驗證相同的功能。但是，摘要式身份驗證在通過網絡發送用戶憑據方面提高了安全性，摘要式身份驗證將憑據作為MD5哈希或消息摘要在網絡上傳送（無法從哈希中解密原始的用戶名和密碼）

摘要式身份驗證的要求

在IIS服務器上啟用摘要式身份驗證之前，必須滿足以下最低要求，只有域管理員才能驗證是否打到域控制器要求。如果不知道域控制器是否達到以下要求，請與域管理員聯系。

1）所有訪問使用摘要式身份驗證保護的資源的客戶端使用Internet Explorer 5或更高版本

2）用戶和運行IIS的服務器必須是同一域的成員，或者由同一域信任

3）用戶必須將有效的Windows用戶賬戶存儲在域控制器的Activity Directory中

4）域必須擁有運行Windows 2000或更高版本的域控制器

5）運行IIS的計算機必須安裝了Windows 2000或更高版本

、.NET Passport身份驗證

Microsoft  .NET Passport是一種用戶身份驗證服務，站點用戶可使用該服務創建單次登錄名和密碼，從而方便地訪問所有啟用.NET Passport的網站和服務。啟用.NET Passport的站點依靠.NET Passport中央服務器來驗證用戶，而不是主持和維護它們自己的專用身份驗證系統。但是.NET Passport中央服務器并不授權或拒絕特定用戶訪問單個啟用.NET Passport的站點，而是由網站來控制用戶權限。

.NET Passport也可以將用戶信息存儲在.NET Passport服務器上的加密配置文件（也稱為“注冊”）中。當.NET Passport用戶注冊參與站點時，就會與該站點共享個人信息以加快注冊過程，當.NET Passport用戶再次登錄到該站點時，其.NET Passport配置文件可允許訪問該站點上的個人賬戶或服務。

.NET Passport單次登錄服務與當前Web上基于表單的常用身份驗證模型類似。.NET Passport網絡拓展了這種模型以用于一組分布式的站點，同時有助于保留成員的保密性和安全性以及適當自定義和署名登錄的功能。

、客戶證書驗證

客戶證書映射是一種在證書和用戶賬戶之間創建映射的方式。在此模型中，用戶提供一個證書，系統檢查此映射以確定應登錄到哪個用戶賬戶。

映射方式

1）使用Active Directory的客戶端證書映射身份驗證。此身份驗證方法要求 IIS 7 服務器是 Active Directory 域的成員，并且用戶帳戶存儲在 Active Directory 中。 由于到 Active Directory 服務器的往返，這種客戶端證書身份驗證方法降低了性能。

2）IIS客戶端證書映射身份驗證。此身份驗證方法不需要 Active Directory，因此適用于獨立服務器。 此客戶端證書身份驗證方法提高了性能，但需要更多的配置，并且需要訪問客戶端證書才能創建映射。