怎样在IIS中将站点的身份验证方法统一设置为匿名访问

怎样在IIS中将站点的身份验证方法统一设置为匿名访问,第1张

如果实现基本身份验证,还应使用 SSL/TLS。有关更多信息,请参见 IIS Documentation(IIS 文档)中的 Setting up SSL on Your Server(在服务器上配置 SSL)和知识库文章 Q298805:HOW TO: Enable SSL for All Customers Who Interact with Your Web Site(如何:为与 Web 站点交互的所有客户启用 SSL)

如果 ASPNET 应用程序需要作为基本身份验证的已验证用户来运行,请使用下面的 Webconfig 文件配置。有关更多信息,请参见将 IIS 身份验证用于 ASPNET 模拟。

<!-- Webconfig file -->

<systemweb>

<authentication mode="Windows" />

</systemweb>

摘要式

简要身份验证克服了基本身份验证的主要弱点:以纯文本形式发送密码。简要身份验证是一种质询/响应机制,它在网上发送简要(又称为哈希)而非密码。简要是一个通过将某数学函数(称为哈希函数或简要算法)应用到任意数量的数据后获得的固定大小的结果。该固定大小取决于加密级别。例如,如果一个 128 位简要由 32 个 ASCII 字符组成,则一个 40 位简要将包含 10 个 ASCII 字符。当客户端试图访问要求简要身份验证的资源时,IIS 向该客户端发送一个质询,要求它创建一个简要并将其发送到服务器。客户端连接服务器和客户端都知道的密码和数据。然后客户端将一个简要算法(由服务器指定)应用到该组合数据。客户端将获得的简要发送到服务器作为对质询的响应。服务器利用从 Active Directory 获得的客户端密码副本,使用与客户端相同的过程创建简要。在 Active Directory 中使用可逆加密方法保存密码。如果服务器创建的简要与客户端创建的简要相匹配,则 IIS 验证该客户端的身份。IIS 使用子身份验证 DLL (iissubadll) 验证用户身份,同时登录网络。就其自身而言,简要身份验证只是基本身份验证的稍加改进。如果没有 SSL/TLS,攻击者可以记录客户端与服务器之间的通信。使用此信息,攻击者就可以重放该事务。有关更多信息,请参见 IIS Documentation(IIS 文档)中的 About Authentication(关于身份验证)

优点

在网络上发送简要,而非密码。

与代理服务器和防火墙一起使用。

不因保护密码而要求使用 SSL/TLS。

缺点

不能委托安全凭据。

仅 Internet Explorer 50 及更高版本支持它。

受制于重放攻击,除非使用 SSL/TLS。

要求使用可逆加密方法在明文中储存密码。

要求为 Active Directory 中的每个用户创建域帐户。

实现

IIS服务器向用户提供哪几种形式的身份认证()

A匿名访问(正确答案)

B基本验证(正确答案)

C请求/响应方式验证(正确答案)

D公钥验证

[本周]如约而至;时间是争取来的 这回的[本周]是把若干零碎的时间利用起来成文的 完成对身份验证 访问授权等内容的梳理 可能漏掉的东西会比较多 漏掉的还是希望大家来补充 顺便说一下上次[本周]Ajax 那点事 题目我认为很平实很低调了 没料到还是被批评了 这回考虑一下用了一个白开水一样的题目 没有问题了吧?言归正传……

观其大略

       是依存于IIS的一个服务 说到的安全相关的话题当然要有一个整体上的思路 IIS接收—》IIS验证—》IIS授权 》验证 》授权 》资源返回给用户  IIS从网络上接收到一个>

以上就是关于怎样在IIS中将站点的身份验证方法统一设置为匿名访问全部的内容,包括:怎样在IIS中将站点的身份验证方法统一设置为匿名访问、IIS服务器向用户提供哪几种形式的身份认证()、就来说说Asp.net 身份验证、授权等相关内容解答,如果想了解更多相关内容,可以关注我们,你们的支持是我们更新的动力!

欢迎分享,转载请注明来源:内存溢出

原文地址: http://outofmemory.cn/web/9268102.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2023-04-26
下一篇 2023-04-26

发表评论

登录后才能评论

评论列表(0条)

保存