我们公司有两种不同类型的网站,一种是面向公众的网站,用户无需基于服务器的身份验证(匿名身份验证)即可访问,另一种是我们公司员工需要访问的网站外部网络。这些员工为我们的外部服务工作,需要从全国各地连接到这些网站。我将这两种不同类型的网站拆分到两个不同的 IIS 8.5 服务器。
我现在关心的是,我们内部网站上的用户的身份验证,以及可能通过暴力破解等方式访问这些网站的入侵者。
我阅读了有关摘要、基本和 Windows 身份验证的内容。
据我所知,摘要式身份验证速度最快,所需的服务器资源也比其他身份验证方法少。但对于摘要式身份验证,服务器需要位于域中,因为它需要从域控制器获取哈希值。我还了解到,不可能将通过摘要式身份验证收到的用户凭据委托给特定网站。例如,如果用户需要在网站内的登录屏幕中验证自己的身份,您不能将他访问服务器时传递的凭据作为网站登录信息。如果我理解正确的话,由于我不希望我的用户验证自己的身份两次,因此这种身份验证方法不符合我的需求。
基本身份验证通过 base64“加密”将密码以纯文本形式发送。这也不是很安全,因为入侵者可以轻易获取这些凭据。
Windows 身份验证应该比基本身份验证更安全一些,Web 服务器不需要在域中,但所有需要进行身份验证的用户都需要在 Web 服务器上的用户组中。我不知道这种方法中凭据是如何编码的。
我的问题是,从安全角度来看,对于我的内部网站的这种特定情况,您建议使用哪种身份验证方法。
注意:我们对所有网站(内部和面向公众的网站)均使用 SSL(HTTPS)。