Проверка подлинности последующих запросов с помощью Microsoft Digest

Примечание

Начиная с Windows 11 22H2, Корпорация Майкрософт не рекомендует Microsoft Digest, также известный как wDigest. Мы продолжим поддерживать Microsoft Digest в поддерживаемых версиях Windows. Будущие версии Windows будут включать ограниченные возможности microsoft digest, и в конечном итоге Microsoft Digest больше не будет поддерживаться в Windows.

Сервер отправляет клиенту ссылку на общий контекст безопасности , используя непрозрачную директиву запроса Digest. После успешной проверки подлинности клиент должен указать это значение в последующих запросах к целевому серверу. Включение непрозрачного значения в запросы ресурсов, доступных с помощью существующего контекста безопасности, устраняет необходимость повторной проверки подлинности на контроллере домена. Такие запросы повторно проходят проверку подлинности на сервере с использованием ключа дайджест-сеанса , кэшированного после начальной проверки подлинности.

На следующей схеме показаны действия, выполняемые клиентом и сервером при последующем запросе ресурсов, защищенных доступом.

Чтобы запросить дополнительные ресурсы после успешной проверки подлинности, клиент вызывает функцию Microsoft Digest MakeSignature для создания ответа на дайджест-запрос. Непрозрачное значение включается в директиву opaque ответа на запрос, отправляемого серверу, в виде заголовка авторизации (отображается как HTTP-запрос).

Сервер вызывает функцию AcceptSecurityContext (Digest), чтобы определить, существует ли контекст безопасности для клиента. При обнаружении существующего контекста функция возвращает SEC_E_COMPLETE_NEEDED, чтобы указать, что сервер должен вызвать функцию CompleteAuthToken . Эта функция выполняет проверку подлинности клиента с помощью ключа дайджеста сеанса , кэшированного во время начальной проверки подлинности , а не повторной проверки подлинности на контроллере домена.