我正在阅读有关IIS7 中的 Windows 身份验证的信息
我从经验中知道,Windows 身份验证在技术上使用 IIS 在 Internet 上可以正常工作——这意味着用户面临 401 未授权的挑战,并且大多数浏览器(Chrome、FF、IE、Safari)都会提示输入 Windows 域\用户和密码,如果身份验证成功,如果授权,用户将获得请求的页面。
但后来我读到了这个:
Windows 身份验证不适合在 Internet 环境中使用,因为该环境不需要或加密用户凭据。
HTTPS 可用于加密,但我正在寻求另一部分的澄清。
“不需要用户凭据”是什么意思?
基于此,真正的问题是:除了使用 HTTPS 进行加密之外,我如何以安全的方式实现 Windows 身份验证以在 Internet 环境中使用?
微软的说法似乎没有根据。我知道如果使用 NTLM 而不是 Kerberos,您将失去与受信任的第三方身份提供者的直接连接,但这并不能向我解释为什么如果实施得当则不需要凭据。求那个方法。谢谢。