• требуется поддержка аутентификации через Интернет;
• в коде приложения необходим доступ к паролям в незашифрованном виде;
• нужна поддержка делегирования.
Базовая аутентификация не годится, когда:
• нужен защищенный вход и при этом не используется защищенный канал вроде Secure Sockets Layer (SSL);
• информация о ваших пользователях хранится в нестандартной базе данных и у них нет учетных записей в Windows;
• в качестве входной страницы применяется адаптируемая под разных
пользователей форма.
Прочие соображения
Выбирая базовую аутентификацию, примите во внимание следующие соображения.
Делегирование при базовой аутентификации
При использовании базовой аутентификации можно делегировать полно- мочия от одного компьютера другому (но не далее). Делегирование проис- ходит, так как сервер IIS локально регистрирует пользователя, вызывая LogonUser. IIS известен пароль пользователя,
он может отвечать на вызовы от удаленных компьютеров, что позволяет Web-серверу действовать от имени клиента. Если требуется делегировать контекст защиты другим компьютерам (расположенным за маршрутизаторами), придется локально регистрировать пользователя на всех компьютерах в цепочке вызова. При базовой аутентификации это возможно, потому что у вас есть доступ к имени пользователя и незашифрованному паролю, которые можно передать другим приложениям, работаю!ним. например, на базе ISAPI или CGI.
Защита при базовой аутентификации
Следует помнить, что раскодировать пароль относительно легко, поэтому применять базовую аутентификацию в чистом виде можно только для не-защищаемых или (в крайнем случае) частично защищаемых приложений.
Базовую аутентификацию можно сделать более безопасной, сочетая ее с SSL. Это предотвратит расшифровку паролей. Сегодня во многих Интернет-приложениях базовая аутентификация сочетается с SSL.
