一、基于Windows的身份验证
1. 允许匿名访问 Enable anonymous access
2. 集成的Windows身份验证integrated windows authentication
前面使用默认的集成Windows身份验证模式进行验证和授权。如果处理的是内联网应用程序,且每个客户机都使用Windows,就没什么问题。Windows是支持该验证模式的唯一系统。这个身份验证系统还要求客户机使用Microsoft的Internet Explorer,但实际情况并非总是如此。
3. 摘要身份验证 digest authentication for windows domain servers
该模型解决了基本身份验证把客户机的凭证作为明文传送的问题。摘要身份验证在把客户机的凭证传送给应用程序服务器之前,使用一个算法加密了它们。
要使用摘要身份验证,需要有一个Windows域控制器。摘要身份验证的一个主要问题是,不是所有的平台都支持它,浏览器必须遵循HTTP 1.1规范。但摘要身份验证不仅可与防火墙一起工作,还与代理服务器兼容。
4. 基本身份验证(把用户名和密码作为明文传送 ) basic authentication(password is sent in clear text)
它也要求客户机提供用户名和密码,以验证其身份。基本身份验证的一大优点是,它是HTTP规范的一部分,所以大多数浏览器都支持它。基本身份验证的缺点是,它把用户名和密码作为明文传送给服务器,所以用户名和密码很容易被窃取。因此,基本身份验证必须与SSL(安全套接字层)一起使用。
二、基于窗体的身份验
基于窗体的身份验证是允许用户访问整个应用程序或其特定资源的一种流行模式。使用它可以把登录窗体直接放在应用程序中,这样,终端用户只需把用户名和密码输入到浏览器中的一个HTML窗体上即可。基于窗体的身份验证的一个缺点是:用户名和密码作为明文传送,除非使用了SSL。
出处: http://book.csdn.net/bookfiles/469/10046916576.shtml