匿名之前的 IIS Windows 身份验证

Question

我有一个网站，我希望同时允许表单和 Windows 身份验证。我的问题是，当您将 IIS 设置为允许匿名（表单身份验证所需）和 Windows 身份验证时，浏览器似乎不会发送用户的网络凭据。

它只是使用匿名登录。在 IE8 或 IIS 中是否有任何方法可以让它尝试 Windows Auth 1st，然后回退到匿名？

感谢您的任何帮助。

Answer 1

在尚无凭据的情况下，如果不弹出身份验证对话框，您就无法请求 HTTP 身份验证（无论是基本身份验证还是集成 Windows 身份验证）。

因此，一般来说，对于混合 HTTP-auth+cookie-auth 方法，您可以对站点的大部分内容启用匿名访问和经过身份验证的访问，但只允许对一个特定脚本进行经过身份验证的访问。

当用户访问没有任何一种身份验证的页面时，您会弹出一个页面，其中包含用于基于 cookie 的身份验证的登录表单，以及指向仅允许经过身份验证的访问的 URL 的链接。用户可以填写 cookies&forms auth 表单，或者点击链接使用 HTTP auth 登录。

如果用户点击该链接，他们将收到 401 响应，并且必须通过身份验证对话框或可能自动使用集成 Windows 身份验证提供 HTTP 身份验证。一旦发生这种情况，浏览器将开始向以后的每个页面提交相同的凭据，因此 IIS 将解码凭据，以便在运行主站点脚本时为您提供预期的 REMOTE_USER。

浏览器只会将凭据提交到与 401 脚本位于同一目录或其子目录中的页面。因此，最好将 HTTP 身份验证所需的脚本放在根目录中，例如 /login.aspx。

但是，有一些浏览器不会自动提交更多页面的凭据，并且要求每个 HTTP 请求首先响应 401，然后再使用凭据再次发送请求。这使得可选身份验证和混合身份验证方案变得不可能（并且使受保护站点的浏览速度慢得多！）。唯一执行此操作的现代浏览器是 Safari。您可能不在乎，因为 Safari 对集成 Windows 身份验证的支持传统上一直不稳定，而且它仍然可以使用 forms+cookies 身份验证类型。