Freigeben über

Authentifizieren nachfolgender Anforderungen mit Microsoft Digest

  • Artikel

Hinweis

Ab Windows 11 22H2 wird Microsoft Digest, auch bekannt als wDigest, eingestellt. Microsoft Digest wird weiterhin auf unterstützten Versionen von Windows unterstützt. Zukünftige Versionen von Windows werden eingeschränkte Funktionen für Microsoft Digest enthalten, und schließlich wird Microsoft Digest unter Windows nicht mehr unterstützt.

Der Server sendet dem Client mithilfe der undurchsichtigen Anweisung der Digest-Challenge einen Verweis auf den freigegebenen Sicherheitskontext . Nach einer erfolgreichen Authentifizierung muss der Client diesen Wert in nachfolgenden Anforderungen an den Zielserver angeben. Wenn Sie den undurchsichtigen Wert in Anforderungen für Ressourcen einschließen, auf die über den vorhandenen Sicherheitskontext zugegriffen werden kann, ist keine erneute Authentifizierung auf dem Domänencontroller erforderlich. Solche Anforderungen werden auf dem Server erneut authentifiziert, indem der Digestsitzungsschlüssel verwendet wird, der nach der ersten Authentifizierung zwischengespeichert wird.

Das folgende Diagramm veranschaulicht die Schritte, die Client und Server während einer nachfolgenden Anforderung für zugriffsgeschützte Ressourcen ausführen.

Authentifizieren nachfolgender Anforderungen mithilfe von Microsoft Digest

Um nach einer erfolgreichen Authentifizierung zusätzliche Ressourcen anzufordern, ruft der Client die Microsoft Digest MakeSignature-Funktion auf, um eine Digest-Anforderungsantwort zu generieren. Der undurchsichtige Wert ist in der undurchsichtigen Direktive der Anforderungsantwort enthalten, die als Autorisierungsheader (als HTTP-Anforderung) an den Server gesendet wird.

Der Server ruft die AcceptSecurityContext -Funktion (Digest) auf, um zu bestimmen, ob ein Sicherheitskontext für den Client vorhanden ist. Wenn ein vorhandener Kontext gefunden wird, gibt die Funktion SEC_E_COMPLETE_NEEDED zurück, um anzugeben, dass der Server dann die CompleteAuthToken-Funktion aufrufen muss. Diese Funktion führt die Clientauthentifizierung mithilfe des Während der anfänglichen Authentifizierung zwischengespeicherten Digestsitzungsschlüssels aus, anstatt sich auf dem Domänencontroller erneut zu authentifizieren.