我們正在研究基於機器的身份驗證,允許特定計算機上的任何用戶訪問我們的.Net站點。機器列表將會改變,但都在內部網絡上。他們的IP地址被假定爲不是靜態的。限制Active Directory計算機組訪問.Net網站
爲了使其更易於管理,我們希望能夠限制對Active Directory計算機組的訪問。
我可以管理AD查詢,我的問題是哪裏是拔出機器名稱和驗證整個會話的最佳位置?
我看着創建一個新的HttpModule,但它似乎我必須驗證每個請求。如果涉及廣告查詢,驗證每個請求似乎並不理想。
網絡是無狀態的,所以無論您使用何種技術,每個請求都會經過身份驗證。然而,不抨擊AD的訣竅是使用會話http cookie。你可以在第一個請求中設置這個cookie,並在隨後的請求中檢查它。您需要對cookie進行某種加密保護,但幸好這已經在ASP.NET中準備好了。我會說你可以利用Forms Authentication基礎設置來設置和驗證一個cookie - 你只需將初始認證卸載到AD,而不是從發佈的表單中讀取。
這裏是一個偉大的地方開始:
瞭解窗體身份驗證票和Cookie的 http://support.microsoft.com/kb/910443
你並不需要每個請求進行身份驗證。使用HttpModule驗證第一個請求,並將請求者添加到會話中,或者在短時間內緩存憑證。