RFC 2617 | HTTP-аутентификация: базовая и дайджест-аутентификация

Showcase поддерживает два способа аутентификации:

Отключение автоматической аутентификации в Internet Explorer

При разработке веб-приложений с анонимным доступом или отличной от Windows аутентификацией необходимо отключить автоматическую проверку подлинности. К примеру, это очень актуально при разработке приложений для SharePoint.  В принципе, все браузеры кроме Internet Explorer не поддерживают автоматическую авторизацию, потому это только для пользователей Internet Explorer.

В Internet Explorer по умолчанию включена поддержка интегрированной аутентификации пользователей. Потому для проверки работы приложений с анонимной аутентификацией нужно изменить настройку браузера, отключив встроенную проверку подлинности Windows. Это можно сделать в разделе «Свойства браузера / Дополнительно». Параметр для отключения – «Разрешить встроенную проверку подлинности Windows» (Рис.1).

Рис.1. Отключить встроенную проверку подлинности Windows

ПоделитьсяTвитнутьPinПоделиться0 Поделились

  • 29 апреля 2016, Alexey
  • Sharepoint
  • Тэги: Internet Explorer, sharepoint, Списки Sharepoint
  • Комментарии: (0)
Отключение автоматической аутентификации в Internet Explorer

Аутентификация через Mellophone

Наибольшее преимущество даёт использование Mellophone для решения задачи аутентификации в Showcase. Для настройки связки Showcase c Mellophone необходимо прописать следующие параметры в общем файле general/:

Параметр Назначение Обязательный Пример значения Значение по умолчанию
Внешний адрес для Mellophone — адрес, который должен быть доступен из пользовательского браузера. Да :8180/mellophone
Внутренний адрес для Mellophone — адрес, который должен быть доступен с сервера приложения. Используется в случае, если Mellophone расположен в той же подсети, что и сервер приложений (в частности — на localhost), и если доступ к внешним адресам с сервера приложений закрыт. Нет http://localhost:8180/Mellophone равно значению
Читайте также:  Как увеличить файл подкачки в Windows 10?

Аннотация

«HTTP/1.0» включает в себя спецификацию для схемы проверки подлинности базового доступа (Basic Access Authentication). Эта схема не считается безопасным методом аутентификации пользователя (если только не используется в сочетании с какой-либо внешней защищенной системой, такой как SSL [5]), поскольку имя пользователя и пароль передаются по сети в виде открытого текста.

Скачать оригинальный документ на английском языке RFC 2617 PDF

Этот документ также предоставляет спецификацию для структуры аутентификации HTTP, исходной Базовой схемы аутентификации (Basic authentication scheme) и схемы, основанной на криптографических хешах (cryptographic hashes), называемой «Digest Access Authentication» (дайджест-аутентификацией доступа). Поэтому он также предназначен для замены RFC 2069 [6]. Некоторые дополнительные элементы, указанные в RFC 2069, были удалены из этой спецификации из-за проблем, обнаруженных с момента ее публикации; другие совместимые элементы были добавлены для совместимости, эти новые элементы были сделаны необязательными, но настоятельно рекомендуются.

Как и «Basic«, «Digest» аутентификация доступа проверяет, что обе стороны коммуникации знают общий секрет (пароль — password); в отличие от Basic, эта проверка может быть проведена без отправки пароля в открытом виде, что является самым большим недостатком Basic. Как и в большинстве других протоколов аутентификации, наибольшие источники рисков обычно находятся не в самом базовом протоколе, а в политиках и процедурах, связанных с его использованием.

Взгляд сверху

Обычно в системах встречаются разные компоненты: пользователи, работающие через браузер, пользователи, взаимодействующие с сервером через мобильные приложения, и просто серверные приложения, нуждающиеся в принадлежащих вам данных, хранящихся на других серверах, доступ к которым осуществляется через Web API.

Single sign-on — технология единого входа — позволяет пользователю переключаться между различными приложениями без повторной аутентификации. Используя SSO можно избежать множественных логинов, так что пользователь просто не будет замечать этих переключений. При этом ситуации, когда в рамках вашей инфраструктуры таких приложений будет больше одного, встречаются постоянно. Технология единого входа особенно удобна в больших энтерпрайз-системах, состоящих из десятков приложений, слабо связанных между собой. Вряд ли пользователи будут довольны, вводя логин и пароль при каждом обращении к системе учета рабочего времени, корпоративному форуму или внутренней базе документов.

Читайте также:  После обновления слетела активация windows

В качестве реализации мы рассматриваем протокол OAuth2. В принципе, существуют и другие, например, Kerberos, успешно взаимодействующий с Windows, но в случае гетерогенной сети, в которой существуют компьютеры, использующие и Windows-, и Mac-, и UNIX-системы, использовать проприетарные протоколы зачастую неудобно. Тем более, это касается случаев, когда доступ к вашим сервисам осуществляется через веб — здесь OAuth2 оказывается лучшим кандидатом.

На рисунке выше показано, какие именно протоколы при каждом типе взаимодействия.

Как мы знаем из раздела «разбираемся детально ху из ху», OpenID Сonnect нужен, чтобы получить у пользователя его учетные данные и проверить их. OAuth 2.0 нужен, чтобы получать токены доступа и с ними обращаться к ресурсам.