在站点或目录的properties对话框的directory security页中的第三个选项允许我们规定所使用的验证方法。
1、匿名访问,任何用户可以访问所提供的web服务,所设置的IP地址和 限制不能阻止这种访问。然后,IIS通过使用ISUR账户访问他们所代表的资源,如此它们就可以访问对这些账户有效的所有资源。
2、基本验证,如果禁止匿名访问,则会向用户提供一个登录对话框,此对话框由浏览器或客户端用户代理应用程序生成。它们所提供的用户名称额密码是Base64编码,可以传递给IIS。然后它在windows查看此账户,如果账户有效并具有访问该资源的正确的许可,则就会允许用户访问资源。
3、摘要验证,如果禁止匿名访问,就会提示用户的证书(他们的登录信息)。浏览器将此证书与其他存储在客户机上的信息联合起来,给服务器发送它的编码的散列。服务器已经具有了此信息的副本,因此就可以重新创建它自己散列的原始细节,并验证用户。此方法仅用于IE和.NET web服务,但是可以通过防火墙、代理服务器和internet传递。它非常安全,只有在windows中存在规定的账户,此账户有效,并且具有到该资源的正确的访问许可,用户才可以访问他们所请求的资源。