SS L заметно ухудшает производительность из-за дополнительных издержек на шифрование. Возможно, для достижения требуемого уровня прон^нодителы-юстм придется отделить серверы, отвечающие за защищенный вход, от серверов контента в Web-ферме.
Проверка на наличие cookie
В ,N ET проверка на наличие cookie выполняется автоматически. Но если БЫ не используете .М- Г. то можете выбрать один из двух основных подходов.
• Реализовать JSAPI-фильтр который подтверждает наличие cookie в запросе, доказывающего, что клиент уже прошел аутентификацию. Если такой файл существует, запрос можно обрабатывать. Нет — клиент следует перенаправить на страницу входа. Пример такого ISAPI-фильтра реализован в Microsoft Commerce Server 2000.
• Добавить в начало каждой Web-страницы код, проверяющий наличие
cookie или другой строки, переданной странице. Если ничего такого
нет, код перенаправляет пользователя на входную страницу. Такая ре- ализация проста, но позволяет защищать лишь а не
ресурсы вроде файлов изображений.
В ASP.NET можно задействовать преимущества встроенной функциональности, предоставляемой аутентификацией на основе форм.
Аутентификация на основе форм в сочетании с учетными записями Windows
Если вы развертываете Интернет-приложение и у ваших пользователей есть на сервере учетные записи Windows, то можете задействовать аутентификацию на основе форм (в том числе, в комбинации с SSL) как альтернативу базовой аутентификации или аутентификации с хэшированием.
Для приложений интрасети с интегрированной
ей это решение может оказаться не слишком удачным. Кроме того, корпоративная политика безопасности может запрещать пользователям вводить пароли в HTML-формы.
Реализация
Чтобы реализовать аутентификацию на основе форм, создайте собственную входную страницу и перенаправляйте на нее все клиенты, не прошедшие аутентификацию
