asp.net Windows Authentication

于 2021-02-10 16:34:23 发布
阅读量663 收藏
点赞数
分类专栏: IIS 文章标签: c# asp.net
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37112587/article/details/113779354
版权

一、Windows Authentication

1.1 概述

  • authentication——认证
    • 作用是识别用户身份
  • Windows Authentication
    • 用户提供windows账户信息进行身份验证
    • 包括basic、digest以及集成windows认证
    • 主要用于局域网内部

1.2 basic

  • 采用“质询-应答”的方式
  • 认证过程
    • 客户端向服务器请求资源
    • 服务端向客户端索要身份凭证,并在响应报头的WWW-Authenticate中标识认证方式为basic
    • 浏览器识别到该报头,自动弹出对话框,要求输入Windows账号密码
    • 输入完毕后,浏览器将账号密码以“{用户名}:{密码}”的形式发送给服务器,发送时采用Base64进行编码,并存储在请求报头中的Authorization
    • 服务器从请求报头中提取信息并进行校验
  • 账号密码只进行Base64编码,没有进行加密,相当于明文传输

1.3 digest

  • 针对basic方案账号密码明文传输的问题进行了改进
  • 改进方式
    • 在服务端向客户端索要身份凭证的时候,除了在响应报头的WWW-Authenticate中标识认证方式为digest,还下发一个服务器支持的哈希算法类型以及服务端生成的一个唯一标识nonce
      • 哈希算法
        • 将任意数据通过一个函数转换成长度固定的字符串
        • 例如MD5
        • 不可逆
    • 客户端在输入账号密码之后,浏览器自动采用服务端提供的哈希算法以及唯一标识nonce,将密码转化为hashcode,即digest
    • 服务端在收到账号密码信息后,将该账号的真实密码,采用同样的哈希算法及唯一标识生成hashcode,并与客户端提供的digest进行对比,以判断用户身份

1.4 集成windows

  • digest的缺陷

    • 需要弹出框提示输入账号密码
    • 密码的hashcode以及用于生成hashcode的唯一标识nonce会在网络中传输,仍然具有一定风险

  • 分类

    • NTLM

      • 会默认将客户端电脑当前登录的windows账户作为凭证,密码的hashcode在登录客户端电脑时会缓存在客户端电脑,之后访问服务器时不需要再手动输入账号、密码
      • 客户端在第一次请求服务端资源时,会携带用户名
      • 在服务端向客户端索要身份凭证的时候,会携带质询(随机数),并在服务端缓存
      • 客户端收到质询后,用密码hashcode对质询进行加密
      • 服务端收到加密质询,将用户名、加密质询、缓存的原始质询发送给域控制器
        • 域控制器保存所有客户信息
      • 域控制器收到用户名,查询出真实密码,并用真实密码的hashcode对缓存的原始质询进行加密,将加密结果与加密质询进行对比以验证用户身份,并反馈给应用服务器
        在这里插入图片描述

    • Kerberos

      • NTLM只能帮助服务端认证客户端身份
      • Kerberos可以进行双向认证
      • 认证过程
        • 获取认购权证
          • 认购权证
            • 需要服务器认可的票据才能访问服务器资源
            • 获取该票据需要认购权证
            • 票据与认购权证都是由KDC(key distribution center)进行发放
          • 获取方式
            • KAS(Kerberos Authentication Service)运行在客户端主机
            • 当用户登录客户端主机时,KAS自动将用户名以及经过密码派生的密钥加密的authenticator(证明用户身份,是一个联络暗号)发送给KDC
            • KDC收到请求后,根据用户名查询获得真实密码,生成密钥对authenticator进行解密,对比联络暗号是否匹配,以此证明用户身份
            • 验证通过后,KDC返回以下信息
              • 通过用户密码派生的密钥加密的登录会话密钥
              • KDC自己的密钥加密的认购权证
                • 认购权证中又包括登录会话密钥和用户信息
            • 客户端可以利用用户密码派生的密钥解密登录会话密钥
              • 登录会话密钥
                • 替代用户密码
                • 生命周期短,安全性更高
        • 获取服务票据(ST)
          • 在客户端请求资源之前,向KDC上的TGS(Ticket Granting Service)发送以下信息
            • 客户端用户名
            • 通过登录会话密钥加密的authenticator
            • 认购权证
          • TGS解密认购权证,得到登录会话密钥,再利用该密钥解密authenticator,以此判断客户端身份
          • TGS验证通过后,返回以下信息
            • 由登录会话密钥加密的服务会话密钥
            • 由应用服务器密码派生的密钥加密的服务票据(ST)
              • 服务票据包括
                • 服务会话密钥
                • 用户信息
          • 客户端利用登录会话密钥解密得到服务会话密钥
        • 获取服务
          • 在客户端请求资源,向应用服务器发送以下信息
            • 服务会话密钥加密的authenticator
            • 服务票据(经过应用服务器密码加密)
            • 请求内容
            • 客户端设置的authenticator,用于客户端对服务端的验证
          • 应用服务器在收到请求后,从服务票据中提取出服务会话密钥,并验证authenticator,以此验证客户端身份
          • 应用服务器在返回数据的同时,需要携带由客户端设置的authenticator,且经过服务会话密钥加密
          • 客户端利用服务会话密钥解密authenticator,以实现客户端对服务端的认证
            在这里插入图片描述

  • 总结

    • NTLM
      • 为了解决弹出框提示输入账号密码的问题,NTLM采用客户端登陆电脑的windows账户作为身份认证
      • 为了解决密码在网络中传输的问题,NTLM通过发送一个质询,客户端用密码对质询加密的方式来反向验证密码,且能避免直接传输密码
    • Kerberos解决这两种问题的方式与NTLM类似
小。。。小的我
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Windows 10 Home: Windows authentication安装
u011788214的专栏
11-16 1139
每个人电脑的文件名称可能不一样,需要在此文件夹下C:\Windows\servicing\Packages,找到IIS相关文件。然后运行如下代码,就可以在Win10家庭版安装IIS没有的Windows authentication组件。 Control Panel-> Turn Windows features on or off-> Internet Information Services -> World Wide Web Services -> Security
ASP.NET Core 实战
最新发布
10-07
1. 跨平台性:ASP.NET Core 可以在 Windows、Linux 和 macOS 等多个平台上运行。 2. 模块化架构:ASP.NET Core 的架构是模块化的,允许开发者根据需要选择使用哪些模块。 3. 高性能:ASP.NET Core 采用了异步编程...
Asp.net windows authentication 简单流程
野狼位位的博客
03-13 1391
API 程序的认证过程:编写api程序在startup.cs中的configureServices中添加services.AddAuthentication(IISDefaults.AuthenticationScheme)在launchSettings.json中将 :"windowsAuthentication": true,    "anonymousAuthentication": tru...
Asp.net 2.0 Windows Authentication
riverlau的专栏
05-29 1278
http://msdn.microsoft.com/en-us/library/ff647076.aspx IIS Authentication When ASP.NET is configured for Windows authentication, it relies on IIS to authenticate its clients using the configu
关于ASP.NET MVC中Form AuthenticationWindows Authentication的简单理解
写代码的蜗牛
08-14 5045
一般互联网应用,如人人网,微博,都是需要用户登录的,如果用户不登陆,就不能使用此网站。所以,这里都是用FormAuthentication,要求用户填写用户名与密码,然后登录成功后,FormAuthentication.SetAuthCookie()方式向客户端Cookie中写入一个认证Token. 一般企业内部的应用,企业内部信息系统,使用Windows Auhentication.
ASP.NET 中的 Windows 身份验证
中辽普坦的专栏
12-26 4245
Windows身份验证给开发者提供了一个使用Windows平台及NTFS文件系统内置安全特性的方式。它也利用了内置于IIS的安全特性。通过使用Windows身份验证,可以使用很少,甚至不用代码就可以构建一个高安全等级的asp.net应用程序。不过只有客户端使用windows平台,并且在web服务器上,或者web服务器从属的Windows域上有一个账户,Windows身份验证才起作用。 有五种类型
asp.net光盘
10-24
8. **安全**:了解身份验证和授权机制,如Forms AuthenticationWindows Authentication等。 9. **部署**:学习如何将ASP.NET应用发布到IIS服务器,进行调试和性能优化。 10. **MVC框架**:深入研究MVC模式,包括...
8个ASP.NET网站简单例子
07-26
6. **安全性与身份验证**:ASP.NET提供了多种安全机制,如Forms AuthenticationWindows Authentication等。实例会教你如何设置权限,保护用户数据,防止未授权访问。 7. **部署与调试**:学会将ASP.NET应用部署到...
ASP.NET课后练习
12-26
7. **身份认证和授权**:ASP.NET MVC支持多种身份验证和授权方案,如Forms AuthenticationWindows Authentication等。开发者可以控制用户访问特定控制器和动作的权限。 8. **辅助方法**:ASP.NET MVC中的辅助方法...
基于ASP.net的跨平台智能云管理系统源码.zip
08-28
跨平台意味着该系统不仅能在Windows操作系统上运行,还可能支持Linux或macOS等其他操作系统,这得益于ASP.NET Core的跨平台能力。 【标签】中的“毕业设计”说明这个项目可能是一个学生为了完成高等教育阶段的毕业...
SQL Server 2012 身份验证(Authentication
09-10
SQL Server安全文章,我们学习了SQL Server里的多个验证选项。Windows集成身份验证是最安全的,但并不是都是可行的,微软多年来已经让SQL Server验证更加安全。
《Pro ASP.NET MVC 3 Framework》学习笔记之三十四 【验证与授权】
weixin_33739541的博客
06-15 232
使用windows验证(Using Windows Authentication) 在软件术语里面,验证的意思是测定身份。这个跟授权是完全分开的,授权是让合适的人做合适的事情,授权通常在验证之后发生。ASP.NET的验证功能也紧紧围绕识别访问者的身份并且设置决定实际的访问者能够做什么的安全上下文(security context)。最简单的验证方式就是把这个任务委托给IIS(这通常适合内部系统)...
How To: Use Windows Authentication in ASP.NET 2.0
camel0564的专栏
11-09 1752
 SummaryThis How To shows you how to configure and use Windows authentication in an ASP.NET Web application. It also shows various impersonation options available with Windows authentication and h
ASP.NET 2.0 中的 Windows 身份验证
微软新技术
02-21 845
  本教程阐释在 ASP.NET 2.0 版中,IIS 集成 Windows 身份验证以及ASP.NET Windows 身份验证的工作机制。同时,阐释 NTLM 和 Kerberos 身份验证的工作机制。此外,本教程还阐释WindowsAuthenticationModule 类如何构造 WindowsPrincipal 和 WindowsIdentity对象,然后将这些对象附加
Windows Authentication(for archive only)
xhinker's blog
01-16 596
Question: Hi Friends,I need to use login name,password by using the system login name,password..please help me to do this.. i heard that it can be done by using IIS server..please me to do.. t
Windows Authentication How-To
BLOG域名:programb.blog.csdn.net
04-24 267
Tomcat Home The Apache Software Foundation Apache Tomcat 9 Version 9.0.34, Apr 3 2020 Links Docs Home FAQ User Comments User Guide 1) Introduction 2) Setup 3) First webapp 4) Deployer 5) Manager 6) H...
IntegratedWindowsAuthentication, Anonymous
RollingFeel的专栏
03-27 1179
公司运维 近日遇到一例IIS报错 自己百度了一下发现网上有相应的解决办法  原文为如下 分享一个关于WCF的小技巧,由于项目中 很多地方用了Jquery+WCF来实现Ajax异步获取数据,在开发环境下: 直接在vs.net里,右击svc文件在浏览器里浏览时(没有采用vs.net自带的aspx服务器,而是在项目属性里设置为直接使用IIS),提示以下错误: IIS 指定了
asp.net中的窗体身份验证
01-12
ASP.NET中的窗体身份验证是指在ASP.NET中使用表单身份验证、Windows身份验证、Passport身份验证等方式来验证用户身份的过程。下面是ASP.NET中的窗体身份验证相关知识点: 1. ASP.NET中的身份验证方式: ASP.NET中...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值