在iis中，启用同一个应用程序的多种身份验证类型意味着什么？

Question

我已经花了很长时间才告诉自己，这只是有效，所以我会把它当成黑盒子。

我可以启用匿名，表单，Windows安全等...但是如果我在同一路径/应用程序上启用多个，这是什么意思？他们都跑了吗？最安全的是否承担验证的角色？

是否有必要启用匿名和Windows身份验证？

有没有办法逐步完成身份验证过程？

Answer 1

本文适用于Windows Server的旧版本，但逻辑是相同的 http://support.microsoft.com/kb/264921

当浏览器发出请求时，它始终认为第一个请求是匿名的。因此，它不会发送任何凭据。如果服务器不接受匿名或者服务器上设置的匿名用户帐户没有对所请求文件的权限，IIS服务器将响应“拒绝访问”错误消息并发送支持的身份验证类型列表通过使用以下方案之一：

• 如果Windows Integrated是唯一受支持的方法（或者Anonymous失败），则浏览器必须支持此方法与服务器通信。如果失败，服务器不会尝试任何其他方法。
• 如果Basic是唯一受支持的方法（或者Anonymous失败），则会出现一个对话框以获取凭据，然后将这些凭据传递给服务器。它尝试最多发送三次凭据。如果这些都失败，则浏览器不会连接到服务器。
• 如果同时支持Basic和Windows Integrated，浏览器将确定使用哪种方法。如果浏览器支持Kerberos或Windows NT质询/响应，则它使用此方法。它不会回归到Basic。如果不支持Windows NT质询/响应和Kerberos，则浏览器使用Basic，Digest。这里的优先顺序是Basic，Digest。