ASP.NET 2.0 中的 Windows 身份验证详解

摘要：本教程阐释在 ASP.NET 2.0 版中，IIS 集成 Windows 身份验证以及 ASP.NET Windows 身份验证的工作机制。同时，阐释 NTLM 和 Kerberos 身份验证的工作机制。此外，本教程还阐释 WindowsAuthenticationModule 类如何构造 WindowsPrincipal 和 WindowsIdentity 对象，然后将这些对象附加到当前的 ASP.NET Web 请求以表示经过身份验证的用户。

本页内容

	目标
	概述
	IIS 身份验证
	NTLM 身份验证
	Kerberos 身份验证
	ASP.NET 身份验证
	安全上下文
	模拟
	委托
	其他资源
	反馈
	技术支持
	社区和新闻组
	投稿人与审阅者

目标

概述

身份验证是一个验证客户端身份的过程，通常采用指定的第三方授权方式。客户端可能是最终用户、计算机、应用程序或服务。客户端的标识称为安全原则。为了使用服务器应用程序进行验证，客户端提供某种形式的凭据来允许服务器验证客户端的标识。确认了客户端的标识后，应用程序可以授予执行操作和访问资源的原则。

如果应用程序使用 Active Directory 用户存储，则应该使用集成 Windows 身份验证。对 ASP.NET 应用程序使用集成 Windows 身份验证时，最好的方法是使用 ASP.NET 的 Windows 身份验证提供程序附带的 Internet 信息服务 (IIS) 身份验证方法。使用该方法，将自动创建一个 WindowsPrincipal 对象（封装一个 WindowsIdentity 对象）来表示经过身份验证的用户。您无需编写任何身份验证特定的代码。

ASP.NET 还支持使用 Windows 身份验证的自定义解决方案（避开了 IIS 身份验证）。例如，可以编写一个根据 Active Directory 检查用户凭据的自定义 ISAPI 筛选器。使用该方法，必须手动创建一个 WindowsPrincipal 对象。

本文阐释在具有 IIS 6.0 的 ASP.NET 2.0 中 Windows 身份验证的工作机制。

IIS 身份验证

如果 ASP.NET 针对 Windows 身份验证进行配置，则 ASP.NET 依靠 IIS，利用配置好的身份验证模式对其客户端进行身份验证。IIS 通过检查特定应用程序的元数据库设置来确定其身份验证模式。成功验证某个用户的身份后，IIS 将代表经过身份验证的用户的 Windows 令牌传递给宿主 ASP.NET 的 ASP.NET 辅助进程 (w3wp.exe)。如果应用程序使用在 IIS 中配置的虚拟目录来支持匿名访问，该令牌代表匿名 Internet 用户帐户;否则，该令牌代表经过身份验证的用户。

IIS 支持以下身份验证模式：

注