asp.net权限认证篇外:4种认证类型比较
1、基本认证,这是以base64加密用户口令并通过http header传输的一种认证方式,但是很容易被破解,因为base64解密没有任何难度;
如果数据被截包,会直接泄露用户口令;所以一般情况下都不会用基本认证;
除非是一些安全要求很低的权限认证,就算泄露用户口令也没什么大影响,那就可以考虑。
2、摘要认证,就是为了解决基本认证明文传输口令、重放攻击的问题,用传输口令摘要代替传输明文密码的一种认证方式。
3、基本认证和摘要认证一般都只是作为一种请求资源文件时的认证手段
4、用户登录认证可以考虑Windows认证及Forms表单认证
5、Windows认证一般在大企业内部用的非常多,因为企业内部用的最多就是一些工作流的系统,一般情况下登录各个子系统时都会要求支持域账号登录
不然,各个子系统都独立一套用户口令,肯定是不行的;
6、Forms表单认证应该是大家用的最多的一种用户登录认证方式,不过现在的人貌似都比较喜欢把用户登录凭证放在session中,而不是使用原来的
FormsAuthenticationTicket保存在Cookies中