asp.net身份认证方式

asp.net提供了3种认证方式: windows身份验证, Forms验证和Passport验证.

1、windows身份验证

   <system.web>
  <authentication mode = "Windows">
  <!--通知操作系统将当前登录的用户的信任书传递给浏览器-->
  <authorization>
  <!--禁止匿名用户访问-->
  <deny users = "?"/>
  </authorization>
  </system.web>

2、 Forms验证

<!--允许匿名用户登录register.aspx页-->
<location path="register.aspx">
<system.web>
<authorization>
<allow users="?"/>
</authorization>
</system.web>
</location>

 <authentication mode="Forms">
<forms name="auth"loginUrl="login.aspx" timeout="30" protection="All" path="/"></forms>
</authentication>
<!--禁止匿名用户登录-->
<authorization>
<deny users="?"/>
</authorization>

页面代码示例：http://technet.microsoft.com/zh-cn/windowsserver/ka5ffkce

3、配置Passport身份认证

需要安装Passport Software Developer  Kit.这种认证方式适合于跨站之间的应用,用户只有一个用户名和密码可以访问任何成员站。

总结：

Windows身份验证仍存在着帐户劫持、信息泄露等威胁。但是，在配置合理的情况下，有着比窗口认证更高的可靠性和更小的攻击面。并且对于用户的权限设置有着更大的自由度。然而，倘若配置不当，或者基于不安全的网络配置，使得帐户泄露，可能导致灾难性的后果。由于帐户必须是存在的Windows帐户，使得其只适用于企业内网或者用户相对固定的网络。而窗口验证适用于用户群庞大或开放注册的环境，如大型社区、论坛等等。但是窗口验证方式可能受到的攻击和威胁要比Windows身份验证要多的多，如SQL注入、跨站点脚本攻击、信息泄露等等。