Digest e Advanced Digest authentication
Questo sistema di autenticazione richiede la presenza di Active Directory e funziona nel seguente modo:
-
Il server invia al browser (protocollo http 1.1) la richiesta di credenziali mediante MD5 inviando un
apposito hash -
Il client invia al server la password e username codificata in MD5 mediante la hash inviata dal server
-
Il server controlla mediante un domain controller che i dati siano corretti
La differenza tra Digest e Advanced Digest è che nel secondo metodo la password nel DC (Domain Controller) è già
codificata in MD5 e non è inviata come testo in chiaro. Questo comporta naturalmente un maggiore livello di
sicurezza.
Integrated Windows authentication
Esistono due metodi di autenticazione integrata in Windows e sono Kerberos (open source) oppure
NTLM (proprietario di Microsoft). In entrambi i metodi i dati sono passati in forma criptata
mediante hash della password ed il controllo avviene su un DC, necessario perciò l'indicazione del dominio di
riferimento. Kerberos è un po più complesso e anche sicuro perchè l'autenticità di server e client viene fatta
mediante un terzo server, il Key Distribution Center (KDC), il quale rilascia un TGT (Ticket granting ticket) a
ciascun utente che lo può usare per accedere alle risorse.
.NET Passport authentication
Permette di utilizzare il sistema .Net Passport per l'autenticazione dell'utente. Richiede la preregistrazione e
la sottoposizione del sito all'approvazione di Microsoft, le richieste dalle proprie pagine devono seguire le
specifiche indicate nel Passport SDK. Una trattazione più dettagliata di questo metodo esula dagli obiettivo di questo
articolo.
Questi ultimi 3 sistemi sono molto sicuri, anche se richiedono una configurazione anche di instrastrutture, molto
più complessa. In pratica la scelta di quale sistema adottare si deve basare sulle richieste di sicurezza, sulla
complessità di implementazione, sulle risorse a cui si vuole accedere.