如果客户端通过 http(而不是 https)访问 Windows 服务器上的文件并在浏览器中使用集成 Windows 身份验证进行身份验证,那么密码发送的安全性如何?
它是否以明文形式发送?
使用集成安全,密码根本不会通过网络发送,这使其成为比 Basic 或 Digest 更好的选择。您需要了解一些注意事项,例如浏览器支持、外部身份验证、委托等。
请查看这篇文章,了解有关集成安全性会发生什么以及要记住的事项的说明。查看身份验证方法部分中的集成安全性。
从文章:
集成 Windows 身份验证(使用 NTLM 质询/响应或 Kerberos)涉及使用 Windows NT 域或 Active Directory 帐户对用户进行身份验证。与 Basic 和 Digest 身份验证不同,加密的密码不会通过网络发送,这使得这种方法非常安全。如果服务器上安装了 Active Directory 服务并且浏览器兼容 Kerberos V5 认证协议,则同时使用 Kerberos V5 协议和质询/响应协议;否则只使用质询/响应协议。它最适用于 Intranet 环境,其中用户和 Web 服务器计算机都在同一个域中,并且管理员可以确保每台计算机都运行 Microsoft Internet Explorer 3.01 或更高版本。