用Win2000 Active Directory保护应用程序之四

下一页 1 2 

　　 基本认证之外的话题

　　如果认证过程中某一个步骤失败，需要在代码中作相应的处理使用户知道这些。你的第一个主意可能是“弹出一个拒绝访问的对话框，在点确认的同时退出应用程序”，但是很遗憾此路不通。这对程序来讲可能解决了问题，但根本不会对用户有任何帮助。


用提示用户输入有效的证书，随后用这个证书重新尝试验证的办法取代前面的解决办法，从而为用户和应用程序验证失败提供一条合理的出路。请见下图：

　　你可以点击此处下载全部源代码来执行对话框。注意：你并没有真正把用户登录到域或者本地计算机，你仅仅验证了一下想访问应用程序的用户提供的用户名和密码，继而证明用户是否属于AD中的某些组。
　
　　除非你正在使用DCOM或其它集成安全的技术，否则这些认证是不成问题的。如果需要集成的NT安全，就需要额外的代码来调用LogonUser，同时要面对所有调用这个API所带来的问题，例如NT的安全在Win9x上不起作用。

　　当你忙于实现好于往常的安全特性时，你可能也想加入基于特征的认证。很多应用程序都有某类功能（例如删除数据库或重要的商业逻辑）只允许授权用户使用。代替依靠某类硬代码操作的密码来保护这些功能，你可以让管理员基于程序功能创建特定的组来界定用户对功能的访问权限。你可以通过使用证书缓存技术实现这些功能，从而避免使应用程序慢许多。证书缓存包括在有限的时间段记忆成功登录的用户，以避免反复访问目录服务器做验证。

原文转自：http://www.ltesting.net