Встроенная проверка подлинности Windows

  • Статья

Майк Уассон

Встроенная проверка подлинности Windows позволяет пользователям входить с учетными данными Windows с помощью Kerberos или NTLM. Клиент отправляет учетные данные в заголовке авторизации. Проверка подлинности Windows наилучшим образом подходит для среды интрасети. Дополнительные сведения: Проверка подлинности Windows.

Преимущества Недостатки
Встроенная служба IIS. Не рекомендуется для интернет-приложений.
Не отправляет учетные данные пользователя в запросе. Требуется поддержка Kerberos или NTLM в клиенте.
Если клиентский компьютер принадлежит к домену (например, приложению интрасети), пользователю не нужно вводить учетные данные. Клиент должен находиться в домене Active Directory.

Примечание

Если приложение размещено в Azure и у вас есть локальный домен Active Directory, рассмотрите возможность федерации локальной службы AD с Azure Active Directory. Таким образом, пользователи могут входить в систему со своими локальными учетными данными, но проверка подлинности выполняется Azure AD. Дополнительные сведения см. в статье Проверка подлинности Azure.

Чтобы создать приложение, использующее интегрированные проверка подлинности Windows, выберите шаблон "Приложение интрасети" в мастере проектов MVC 4. Этот шаблон проекта помещает следующий параметр в файл Web.config:

<system.web>
    <authentication mode="Windows" />
</system.web>

На стороне клиента интегрированная проверка подлинности Windows работает с любым браузером, поддерживающим схему проверки подлинности Negotiate, которая включает большинство основных браузеров. Для клиентских приложений .NET класс HttpClient поддерживает проверка подлинности Windows:

HttpClientHandler handler = new HttpClientHandler()
{
    UseDefaultCredentials = true
};

HttpClient client = new HttpClient(handler);

проверка подлинности Windows уязвима для атак с подделкой межсайтовых запросов (CSRF). См. статью Предотвращение атак с подделкой межсайтовых запросов (CSRF).