IIS7中的几种身份鉴别方式(二)集成身份验证
将IIS7设置成集成身份验证,请求来时,
IIS Web Core 的AUTHENTICATE_REQUEST事件将请求拦截下来并将状态码设置成401.2,
返回响应
(一)如果输入的是域用户,浏览器选择Kerberos协议,从域控制器取得票据以Authorization头部提交给服务器
服务器验证通过后,返回请求页面
以后访问其他页面都要经过这样的一次认证过程。
(二)如果输入的不是域用户或者是kerberos认证通不过,浏览器选择NTLM协议,
服务器返回质询码,此时的状态码为401.1
浏览器再次生成认证头部,发送到服务器
服务器认证通过后,返回请求页面
以后访问,如果TCP连接不断,就不用在认证,http请求头部也不会有authorization头部,如果tcp连接中断,在访问其他页面还要经过以上过程。
需要说明的是NTLM身份验证方式,是一种面向连接的机制,即在验证的过程中要保持tcp连接,否则无法实现验证过程。在以前的http请求时,每次http请求都要建立tcp连接,后来引入了Connection头让其设置成keep-alive,如果服务器返回的头部中也包含Connection设置成keep-alive,则会保持tcp连接,下次再有http请求时就用此tcp连接而不用重新建立,如果返回的头部中Connection被设置成close,则不会保持tcp连接。保持tcp连接以及持续的时间可以设置,在IIS7中如图
连接超时可以设置保持tcp连接的时间。
(三)如果在服务器配置了禁用Negotiate,即在C:\Windows\System32\inetsrv\config\applicationHost.config(我的电脑是此目录)中注释掉Negotiate,
那么只能通过NTLM认证
发起请求
返回供选择的认证协议,此时只有NTLM
浏览器选择NTLM认证协议
返回质询码
再次发起请求
认证通过后返回请求页面