IIS7中的几种身份鉴别方式(二)集成身份验证

将IIS7设置成集成身份验证,请求来时,

 

IIS Web Core 的AUTHENTICATE_REQUEST事件将请求拦截下来并将状态码设置成401.2,

 

返回响应

(一)如果输入的是域用户,浏览器选择Kerberos协议,从域控制器取得票据以Authorization头部提交给服务器

服务器验证通过后,返回请求页面

以后访问其他页面都要经过这样的一次认证过程。

(二)如果输入的不是域用户或者是kerberos认证通不过,浏览器选择NTLM协议,

服务器返回质询码,此时的状态码为401.1

 浏览器再次生成认证头部,发送到服务器

服务器认证通过后,返回请求页面

以后访问,如果TCP连接不断,就不用在认证,http请求头部也不会有authorization头部,如果tcp连接中断,在访问其他页面还要经过以上过程。

需要说明的是NTLM身份验证方式,是一种面向连接的机制,即在验证的过程中要保持tcp连接,否则无法实现验证过程。在以前的http请求时,每次http请求都要建立tcp连接,后来引入了Connection头让其设置成keep-alive,如果服务器返回的头部中也包含Connection设置成keep-alive,则会保持tcp连接,下次再有http请求时就用此tcp连接而不用重新建立,如果返回的头部中Connection被设置成close,则不会保持tcp连接。保持tcp连接以及持续的时间可以设置,在IIS7中如图

连接超时可以设置保持tcp连接的时间。

(三)如果在服务器配置了禁用Negotiate,即在C:\Windows\System32\inetsrv\config\applicationHost.config(我的电脑是此目录)中注释掉Negotiate,

那么只能通过NTLM认证

发起请求

 返回供选择的认证协议,此时只有NTLM

浏览器选择NTLM认证协议

返回质询码

再次发起请求

认证通过后返回请求页面

posted @ 2012-02-16 20:34  王仙客  阅读(1167)  评论(0编辑  收藏  举报