Проверка подлинности последующих запросов с помощью дайджеста Майкрософт

Заметка

Начиная с Windows 11 22H2 корпорация Майкрософт не рекомендует Microsoft Digest, также известная как wDigest. Мы будем продолжать поддерживать Microsoft Digest в поддерживаемых версиях Windows. Будущие версии Windows будут включать ограниченные возможности Microsoft Digest, и в конечном итоге Microsoft Digest больше не будет поддерживаться в Windows.

Сервер отправляет клиенту ссылку на общий контекст безопасности с помощью непрозрачной директивы задачи Digest. После успешной проверки подлинности клиент должен указать это значение в последующих запросах на целевой сервер. Включая непрозрачное значение в запросах на ресурсы, доступные с помощью существующего контекста безопасности, устраняет необходимость повторной проверки подлинности на контроллере домена. Такие запросы повторно проходят проверку подлинности на сервере с использованием кэшированного после первоначальной проверки подлинности ключа сеанса дайджеста .

На следующей схеме показаны шаги, выполняемые клиентом и сервером во время последующего запроса на ресурсы, защищенные доступом.

Чтобы запросить дополнительные ресурсы после успешной проверки подлинности, клиент вызывает функцию Microsoft Digest MakeSignature для создания ответа на вызов дайджеста. Непрозрачное значение включается в непрозрачную директиву ответа на запрос, отправляемый серверу в качестве заголовка авторизации (показано как HTTP-запрос).

Сервер вызывает функциюAcceptSecurityContext (Digest), чтобы определить, существует ликонтекст безопасностидля клиента. При обнаружении существующего контекста функция возвращает SEC_E_COMPLETE_NEEDED, чтобы указать, что сервер должен вызвать функцию CompleteAuthToken. Эта функция выполняет аутентификацию клиента с помощью кэшированного сеансового ключа дайджеста , сохраненного во время начальной аутентификации , вместо повторной аутентификации на контроллере домена.