如果我们的网站已经实现了Web身份验证,在什么情况下应该启用IIS身份验证?
In what scenarios should we enable IIS Authentication if we already have web authentication implemented in our website?
我知道 ASP.NET 使用身份进行身份验证。所以,如果我的应用程序已经启用了身份验证,我为什么要在此基础上启用 IIS 身份验证?
另外,如果我都启用了,是否需要用户输入他或她的凭据两次(一次用于应用程序登录,然后用于 IIS 登录)?
两者完全不同。
ASP.NET 在您的 Web 应用程序中使用身份验证用于在您的应用程序中对最终用户进行身份验证和授权。
IIS 身份验证用于托管应用程序的安全和访问管理。
如果我们进一步探讨为什么需要这样做。最终用户只需要有权使用用户界面屏幕查看数据和进行操作。
IIS 用户(用于 IIS 验证)在部署代码、创建新模式或修改现有模式时可能需要像持续集成 (CI) 中那样创建模式、修改模式的权限。
同样在多层应用中,我们可以选择运行 service(web services, web API, WCF
等)在最终用户身份验证下(如果需要)或需要具有更多权限的用户。
所有决定都取决于您的体系结构、需求和安全要求。没有一种选择适合所有架构需求。我们需要在给定场景中选择最适合我们需求的东西,我们以这种方式设计应用程序进一步 extensible/scalable 更高的负载,并且在长期支持中也更容易维护代码。
我知道 ASP.NET 使用身份进行身份验证。所以,如果我的应用程序已经启用了身份验证,我为什么要在此基础上启用 IIS 身份验证?
另外,如果我都启用了,是否需要用户输入他或她的凭据两次(一次用于应用程序登录,然后用于 IIS 登录)?
两者完全不同。
ASP.NET 在您的 Web 应用程序中使用身份验证用于在您的应用程序中对最终用户进行身份验证和授权。
IIS 身份验证用于托管应用程序的安全和访问管理。
如果我们进一步探讨为什么需要这样做。最终用户只需要有权使用用户界面屏幕查看数据和进行操作。
IIS 用户(用于 IIS 验证)在部署代码、创建新模式或修改现有模式时可能需要像持续集成 (CI) 中那样创建模式、修改模式的权限。
同样在多层应用中,我们可以选择运行 service(web services, web API, WCF 等)在最终用户身份验证下(如果需要)或需要具有更多权限的用户。
所有决定都取决于您的体系结构、需求和安全要求。没有一种选择适合所有架构需求。我们需要在给定场景中选择最适合我们需求的东西,我们以这种方式设计应用程序进一步 extensible/scalable 更高的负载,并且在长期支持中也更容易维护代码。