我知道使用身份的ASP.NET身份验证。因此,如果我的应用程序已经启用了身份验证,为什么还要在其上启用IIS身份验证?
如果同时启用了这两个功能,是否还需要用户两次输入其凭据(一次用于应用程序登录,然后一次用于IIS登录)?
答案 0 :(得分:0)
两者都是完全不同的东西。
在Web应用程序中使用身份进行ASP.NET身份验证用于在应用程序中对最终用户进行身份验证和授权。
IIS身份验证用于托管应用程序的安全性和访问管理。如果我们进一步探讨为什么需要这样做。最终用户只需要使用用户界面屏幕查看数据和进行操作的权限即可。
IIS用户(用于IIS自动化)可能需要权限来创建架构,在部署代码,创建新架构或可以修改现有架构时像在持续集成(CI)中那样修改架构。
也可以在多层应用程序中选择运行服务(Web服务,Web API,WCF 等),如果需要,则在最终用户身份验证下进行,或者需要具有更多权限的用户。
所有决定取决于您的体系结构,需求和安全要求。没有选择适合所有架构需求。在给定的情况下,我们需要选择最适合我们需求的内容,并且在这种设计方式下,应用程序可以进一步扩展/扩展以增加负载,并且在长期支持中也更容易维护代码。