02.系统用户身份验证

允许访问资源

Y

生成对ASP.NET程序的请求

N

ASP.NET应用程序客户端标识

IP地址和域通过允许？

访问被拒绝

具有NTFS访问权限？

身份验证技术是目前广泛使用的企业信息系统的安全技术之一，它通过使用用户向系统出示自己身份证明、系统核查使用用户身份证明的有效性两个过程判明和确认通信双方的真实有效身份。 主要依靠Internet信息服务(IIS)的身份验证技术和Windows NT文件访问系统的安全性，如图所示。使用用户的访问请求首先从网络客户进入IIS，IIS可以选择使用基本的、简要的或集成的Windows 身份验证技术对客户进行身份验证，如果客户通过了身份验证，那么IIS将根据验证后的结构生成新的对ASP.NET的请求后提交给ASP.NET应用程序服务器。之后ASP.NET应用程序使用从IIS传递来的访问标记模拟原始提出请求的客户，并验证该用户在配置文件中所给定的访问权限。最后通过验证，应用程序通过IIS返回所请求的页面。此方案依赖了Windows集成的账户验证功能，同时可以尽量减少系统对ASP.NET程序本身在安全性方面的编程量，大大简化了系统设计过程中的工作量。

IIS

ASP.NET应用程序运行时进程标识

ASP.NET

启用ASP.NET模型？

用户通过身份认证？

用户请求

通过程序安全检查？