Autentificarea este procesul de verificare a faptului că clientul are dreptul de a accesa resursa. Protocolul HTTP acceptă autentificarea ca mijloc de negociere a accesului la o resursă securizată.
Cererea inițială din partea clientului este de obicei anonimă și nu conține informații pentru autentificare. Aplicațiile serverului HTTP pot respinge o cerere anonimă dacă este necesară autentificarea. Aplicația de server trimite anteturi WWW-Authentication pentru a indica schemele de autentificare acceptate. Acest document descrie mai multe scheme de autentificare pentru protocolul HTTP și descrie implementarea lor în Windows Communication Foundation (WCF).
Serverul poate specifica mai multe scheme de autentificare disponibile pentru client. Următorul tabel descrie mai multe scheme de autentificare utilizate în mod obișnuit în aplicațiile Windows.
Schema de autentificare
Autentificarea de bază constă în transmiterea unui șir în codarea Base64 care conține numele de utilizator și parola pentru client. Base64 nu este o formă de criptare, ar trebui să fie considerată ca trecând o parolă plaintext și un nume de utilizator. Dacă este necesară o protecție a resurselor, este recomandat să utilizați o schemă de autentificare diferită de cea normală.
Digestul de autentificare este o schemă de cerere-răspuns concepută pentru a înlocui autentificarea de bază. Serverul trimite un șir de date aleatoare către client, numit un cuvânt special. ca o interogare. Clientul răspunde cu un hash care conține, în plus față de informații suplimentare, un nume de utilizator, o parolă și un cuvânt special. Eliminarea datelor și complexitatea acestui schimb fac dificilă furtul și reutilizarea acreditărilor utilizatorului atunci când se utilizează această schemă de autentificare.
Autentificarea NTLM (NT LAN Manager) este o schemă de cerere-răspuns care este o versiune mai sigură de autentificare digest. NTLM utilizează acreditările Windows pentru a converti datele de apel în loc să trimită un nume de utilizator și o parolă necriptate. Autentificarea NTLM necesită mai multe comunicări între client și server. Serverul și orice server proxy intermediar trebuie să mențină conexiuni persistente pentru a finaliza cu succes autentificarea.
Negocierea autentificării, în funcție de disponibilitate, selectează automat protocolul Kerberos sau autentificarea NTLM. Dacă este disponibil, se utilizează protocolul Kerberos, altfel se face o încercare de a utiliza protocolul NTLM. Autentificarea Kerberos are avantaje semnificative față de NTLM. Autentificarea Kerberos este mai rapidă decât NTLM și permite autentificarea reciprocă și delegarea acreditărilor la computerele de la distanță.
Windows Live ID
Serviciul de bază HTTP pentru Windows include autentificarea utilizând protocoale federalizate. Cu toate acestea, transportul HTTP standard în WCF nu acceptă scheme federalizate de autentificare, cum ar fi Microsoft Windows Live ID. Suportul pentru această funcție este disponibil în prezent prin securitatea mesajului. Pentru mai multe informații, a se vedea .Federația și jetoanele emise.
Atunci când alegeți o schemă potențială de autentificare pentru un server HTTP, trebuie luate în considerare mai multe lucruri.
Luați în considerare dacă este necesară protecția resurselor. Utilizarea autentificării HTTP necesită transferul mai multor date și poate limita interacțiunea cu clienții. Puteți permite accesul anonim la o resursă care nu necesită protecție.
Dacă este necesară o protecție a resurselor, analizați ce schemă de autentificare va oferi nivelul necesar de securitate. Schema de autentificare standard mai slabă este autentificarea standard. Autentificarea de bază nu protejează acreditările utilizatorului. Schema de autentificare standard cea mai robustă este autentificarea Negotiate implementată în protocolul Kerberos.
Serverul nu trebuie (în anteturile WWW-Authentication) să furnizeze orice schemă care nu este gata să accepte sau să ofere o protecție suficientă pentru resursa securizată. Clientul este liber să aleagă orice schemă de autentificare furnizată de server. Unii clienți aleg în mod implicit o schemă de autentificare slabă sau prima schemă de autentificare din lista de servere.
Articole similare
Trimiteți-le prietenilor: