Авторизация от Кэвина Флика

Оригинал данной статьи опубликован на сервере www.activeserverpages.ru
Прочитать ее можно по адресу: www.activeserverpages.ru/articles/read.asp?id=30

Авторизация от Кэвина Флика

Кевин Флик, 25.01.2000

---

Данный пример демонстрирует авторизацию (проверку прав для доступа). Что это такое и как это работает.

Так что такое авторизация?

Вам может понадобиться ограничить доступ к выбранной части вашего web-сервера. К примеру, у вас имеется информация, такая, например, как котировки ценных бумаг в реальном времению (тип Рэйтер или РТС) и вы хотите получать за эту информацию деньги, а котировки с задержкой, например, в 15 минут вы предоставляете бесплатно.
В этих случаях вам необходимо каким-либо образом распознать - имеет ли данный пользователь право на доступ к информации (или ее части). В дополнении к этому вы можете захотеть предоставить доступ пользователям к ограниченной части вашего web с целью регистрации этих пользователей на сервере и последующей рассылкой этим пользователям цен на услуги. Что к тому же является эффективным методом для отслеживания посещающих вас пользователей.

Запрашивая у посетителей вашего сервера имя и пароль для доступа и называется аутентификацией (проверкой прав доступа).

Каков мой выбор?

Учитывая, что вы имеете такой мощнейший продукт как Internet Information Server (IIS for Windows NT) у вас есть несколько различных способов и методов аутентификации:

• IIS NT Challange Response

  • Хороший выбор если вы в сети Windows то вы можете потребовать от пользователей использовать Internet Explorer и не использовать Proxy-сервер между броузером и сервером.

• IIS Basic Authentication

  • Позволяет проверить ваши NT имя и пароль если соединение не через SSL.

• Basic Authentication фильтр, такой как AuthentiX

  • Не может быть отличным от NT - учетных записей. Высокое быстродействие, огромное количество пользователей. Можно сравнивать вместо ODBC или внутренней базы данных. Имеется куча примочек.

• Написать свой собственный фильтр

  • Гибко, но требует написания

• Основанный на Cookie метод с ASP-страницами.

  • Защищает только ASP-страницы. Может быть медленный. Требует применения Cookies у броузера.

• Само-аутентификация постредством ISAPI dll или CGI-скрипта, используя Basic - аутентификацию.

  • Неплохая производительность, все содержимое (контекст) генерируется через простой URL. Нет необходимости использовать соглашения directory/file/html (при написании URL)

• Аутентификация построенная на СЕРТИФИКАТАХ.

  • Высоко-защищенная, но проблематично и пользователям и web-мастерам. А также требует SSL (Secure Socket Layer - слой защищенных пакетов).

Так что использовать?

Чтобы выбрать метод проверки прав необходимо подумать о следующем:

• Вы хотите наиболее широкого посещения вашего сервера, т.е. аппаратно-програмная (платформенная) независимость (исключая и NT ChallangeResponse и Cookies)

• Имеете требования к производительности? Хотите популярности и посещаемости серевера - не делайте проверку доступа мертвецки-медленной! (это касается SSL-сертификатов, ASP-аутентификации).