Tôi đã có một trang web ASP.NET tiêu chuẩn chứng khoán, được triển khai cho máy phát triển của chúng tôi (máy nội bộ trong phòng máy chủ của chúng tôi).IIS7 và sự cố xác thực
Bây giờ, trang web dev này có thể được truy cập bởi cả người dùng INTERNAL và EXTERNAL. Bây giờ, trong IIS6, chúng tôi đã sử dụng nó để Xác thực ẩn danh bị tắt tắt và một cái gì đó khác được bật .. cho người dùng hộp mô hình bật lên cho tên người dùng và mật khẩu. Tôi nghĩ rằng họ phải nhập một số tên người dùng hoặc mật khẩu đã được xác định trong tệp web.config? (Không họ tên tài khoản trang web/mật khẩu)/
Bây giờ, với IIS7, khi tôi quay Anon Auth tắt, và bật Basic hoặc Windows Auth, tôi nhận được quyền truy cập vào các trang web nhưng nó cố gắng đăng nhập tôi với các thông tin đăng nhập .. và không phải là tài khoản mà người dùng đã đăng ký (sử dụng một số trang web dạng chuẩn asp.net chuẩn).
Vì vậy, ... có thể 'khóa' toàn bộ trang web và giúp người kiểm tra truy cập chung vào trang web .. khác với tên người dùng và mật khẩu trang web của họ. Những tên người dùng và mật khẩu được sử dụng trong trang web thay thế.
điều đó có hợp lý không?
cổ vũ!
<authentication mode="Forms">
<forms loginUrl="~/Pages/Login.aspx" protection="Validation" timeout="1000000000" requireSSL="false" slidingExpiration="true" defaultUrl="Default.aspx">
</forms>
</authentication>
không có ủy quyền.
Ngoài ra, khi tôi thêm 'Digest Auth' vào iis7 và bật (và vô hiệu hóa mọi thứ khác), tôi nhận được cửa sổ bật lên (kewl!) Nhưng tôi không chắc chắn thông tin nào tôi cần truyền vào. tôi có thể xác định những thông tin đăng nhập bằng tay (vì vậy họ là riêng biệt từ người dùng của trang web) ??
Đây là một kỳ vọng hoàn toàn hợp lý và là một yêu cầu rất phổ biến. – Aaron
@Aaron - muốn chúng tôi có thể yêu cầu nhóm IIS thêm điều này: ( –