当用户通过web请求资源时,IIS接受请求并执行用户的初始验证工作。在判断用户是否被允许访问资源之前,IIS也执行其他的检查工作。
1、IP地址和域名限制。在windows2003 server和windows NT4中,可以规定客户机的IP地址和域名,此客户机会被允许访问或拒绝访问。可以通过IP address和domain name restrictions对话框完成,这些对话框位于站点或目录的properties对话框的directory security页。如果经常从单独机器上访问受限制的站点,或者如果所有的用户都来自于一组特定的IP地址或域,则这些对话框就很有用。
验证了用户之后,系统至少会知道一些用户的信息。至少会知道用户名称(身份)和所执行的验证类型。在windows验证的情况下,它也知道用户是哪一个成员的角色(即哪一个windows账户组)。
网站建设中我们可以在代码中访问此信息,并使用它处理应用程序的行为。例如,我们可以显示不同页或改变页的内容,这取决于特定的用户,或取决于他们所属于的组。这是一项非常有用的功能,因为唯一的替代方法是提供页内容,为此要创建页的多个副本,并建立正确的用户对每一页的访问许可。即使这样,用户可以知道他们应该访问哪一页的唯一方法也只是实验所有的页,这可不是方便用户的方法。
元素提供账户细节,仅当为启用模仿设置时使用这些细节。打开模仿设置意味着ASP.NET会运行在账户环境之下,当接收请求时由IIS验证此账户。如果配置IIS来允许匿名访问(站点的默认设置),那么其环境是IUSR账户的环境(或者是所规定的账户,如果改变它,IIS就为匿名访问使用此账户)。简单地在machine.config或web.config文件的<system.web>部分添加<identity impersonate=”true”>元素,意味着会在IIS匿名账户(IUSR_machinename)之下发生匿名访问。另一种可能情况是使用<identity>元素的userName和password以规定账户,我们希望ASP.NET资源运行在此账户之下。
