IIS7 身份验证

什么是身份验证？

身份验证用于确认请求访问站点或应用程序的客户端的标识。

IIS7支持的身份认证有哪些？

1.匿名身份验证

  所谓匿名身份验证，就是windows不区分访问站点或应用程序的客户端标示，统一标示为IUSER。IUSER是在安装IIS7的时候创建的windows用户。你也可以在IIS7中修改为自己创建的windows用户。

2.Asp.Net模拟

  Asp.Net模拟是为了Asp.Net应用程序提供的身份验证，默认设置为通过验证的用户，也可以设置为其他用户。

  为什么需要模拟？缺省情况下，ASP.NET应用程序以本机的ASPNET帐号运行，该帐号属于普通用户组，权限受到一定的限制，以保障ASP.NET应用程序运行的安全。但是有时需要某个ASP.NET应用程序或者程序中的某段代码执行需要特定权限的操作，比如某个文件的存取，这时就需要给该程序或相应的某段代码赋予某个帐号的权限以执行该操作，这种方法称之为身份模拟（Impersonation）。

3.基本配置身份验证

   基本身份验证要求用户提供有效的用户名和密码才能访问内容。服务器直接验证服务器本地是否用用户跟客户端提供的用户名和密码相匹配的，如果有则通过验证。但是，基本身份验证的缺点是其在网络上传输不加密的 Base64 编码的密码。 只有当您知道客户端与服务器之间的连接是安全连接时，才能使用基本身份验证。 应通过专用线路或利用安全套接字层 (SSL) 加密和传输层安全性 (TLS) 来建立连接。

4.摘要式身份验证

  摘要式身份验证使用 Windows 域控制器对请求访问 Web 服务器内容的用户进行身份验证。

5.windows身份验证

  如果您希望客户端使用 NTLM 或 Kerberos 协议进行身份验证，则应使用 Windows 身份验证。

NTLM验证方式需要把用户的用户名和密码传送到服务端，服务端验证用户名和密码是否和服务器的此用户的密码一致。用户名用明码传送，但是密码经过处理后派生出一个8字节的key加密质询码后传送。

Kerberos验证方式只把客户端访问IIS的验证票发送到IIS服务器，IIS收到这个票据就能确定客户端的身份，不需要传送用户的密码。需要kerberos验证的用户一定是域用户。

在域中每一个登录用户在登录被验证后都会被域中的验证服务器生成一个票据授权票（TGT）作为这个用户访问其他服务所要验证票的凭证（这是为了实现一次登录就能访问域中所有需要验证的资源的所谓单点登录SSO功能），而访问IIS服务器的验证票是通过此用户的票据授权票（TGT）向IIS获取的。之后此客户访问此IIS都使用这个验证票。同样访问其他需要验证的服务也是凭这个TGT获取该服务的验证票。

6.Forms身份验证

  Forms 身份验证使用客户端重定向来将未经过身份验证的用户重定向至一个 HTML 表单，用户可以在该表单中输入凭据，通常是用户名和密码。 确认凭据有效后，系统会将用户重定向至他们最初请求的页面。

由于 Forms 身份验证以明文形式向 Web 服务器发送用户名和密码，因此您应当对应用程序的登录页和其他所有页使用安全套接字层 (SSL) 加密。