缺省情况下,IIS允许对web应用程序的匿名访问,这意味着请求的用户并不需要实际经过验证。然而,web应用程序也可以配置为需要iis验证。
iis 支持几种类型的验证,包括基本验证,摘要验证,基于证书的验证和集成的windows验证。
通过基本验证,用户名和密码通过编码并且在一个http头部中传输。查看用户名和密码,看他们是否和服务器上的windows帐户匹配。
由于用户名和密码并没有加密,基本验证只能够和安全 套接字层一起使用。ssl加密了使用https传输的所有通信。
通过摘要验证,密码经过了一种特殊的计算(一次哈希),所得的结果发送给服务器,服务器执行相同的计算并且将它和接收的值进行比较。如果他们匹配,就假设密码是匹配的,这种方法的优点是密码不会在网络上传送,然而,哈希机制并不完全是安全的,并且并不适用于所有的浏览器。
基于证书的验证使用证书作为验证给定站点身份的一种方法。在公钥密码系统中,证书使用一个数字签名把一个把一个公钥和一个身份(诸如一个单位或一个单位的名称他的地址之类的信息)邦定在一起。随后,证书用来验证一个公钥属于某个个体。
证书必须花钱从一个知名的证书机构购买。这些证书机构中的大多数还提供免费的、有使用期限的试用证书。拥有了一个证书之后,必须在iis中为站点安装和配置证书(站点属性,单击directory Security标签,然后单server certificate 按钮)。由于每个证书