Могу ли я повторно использовать встроенную проверку подлинности IIS, но предоставить свою собственную проверку учетных данных?

Question

Я хотел бы использовать встроенную проверку подлинности IIS для учетных записей, отличных от Windows. Есть этот модуль, который делает это для базовой аутентификации , но на самом деле он выполняет как проверку подлинности, так и проверку учетных данных.

Проблема в том, что мне также нужно поддерживать дайджест-проверку подлинности, и я мог бы попытаться это сделать, но это доставило бы много хлопот - мне нужно безопасно генерировать вызовы («одноразовые номера»), хранить их, проверять повторы и т. Д. Много вещей, которые я могу испортить и осчастливить решительных нападающих.

Поэтому я бы предпочел повторно использовать функциональность дайджест-аутентификации в IIS, но использовать свой собственный модуль для проверки учетных данных. Как я могу это сделать?

Answer 1

К сожалению, не существует никакого решения. Чтобы использовать встроенную в IIS дайджест-проверку подлинности, вам нужно выбрать «Форма», а это не то, что вам нужно.

Одним из возможных решений является использование анонимной аутентификации в IIS и создание модуля http для обработки аутентификации и авторизации.

Есть некоторый существующий код в codeproject, где вы можете проверить.

Answer 2

Вы можете попробовать что-то под названием «Членство в ASP.NET».Единственный недостаток - использование аутентификации с помощью форм.

Основная концепция здесь

• MSDN: введение в членство

Вы даже можете написать «Пользовательский поставщик членства», если не хотите использовать одного из поставщиков ASP.NET по умолчанию (например, SQL Server)

• MSDN: реализация членстваПровайдер