关于 .NET Passport 身份验证

Microsoft .NET Passport 是一种用户身份验证服务，站点用户可使用该服务创建单次登录名和密码，从而方便地访问所有启用 .NET Passport 的网站和服务。启用 .NET Passport 的站点依靠 .NET Passport 中央服务器来验证用户，而不是主持和维护它们自己的专用身份验证系统。但是，.NET Passport 中央服务器并不授权或拒绝特定用户访问单个启用 .NET Passport 的站点。而是由网站来控制用户的权限。

.NET Passport 也可以将用户信息存储在 .NET Passport 服务器上的加密配置文件（也称为“注册”）中。当 .NET Passport 用户注册参与站点时，就会与该站点共享其个人信息以加快注册过程。当 .NET Passport 用户再次登录到该站点时，其 .NET Passport 配置文件可允许访问该站点上的个人帐户或服务。

.NET Passport 单次登录服务与当前 Web 上基于表单的常用身份验证模型类似。.NET Passport 网络扩展了这种模型以用于一组分布式的参与站点，同时有助于保留成员的保密性和安全性以及适当自定义和署名登录的功能。特别地，.NET Passport 使用以下方法来扩展基于表单的身份验证模型：

• 登录、注销和注册页集中主持的，而不是每个单独站点特有的。
• 可以广泛地对 .NET Passport 进行共同署名以符合您的站点外观。当在客户端浏览器中显示集中主持的页时，可以从您的站点直接为共同署名材料提供服务，并且共同署名材料包含在这些页中。
• 对于需要额外安全性能以交换凭据或其他信息的集中主持的页，始终使用安全套接字层 (SSL) 为这些页提供服务。
• 所有 .NET Passport 登录和核心配置文件 Cookie 均经过严格加密。每个参与网站收到唯一的加密密钥以有助于确保信息的保密性。
• 中央 .NET Passport 服务器将加密的登录和配置文件信息返回给您的站点，可随后使用这些信息写入本地 Cookie，从而避免在后续页面查看时重定向回中央 .NET Passport 服务器。
• 在站点之间移动时，成员不需要重新键入其登录名称和密码。启用 .NET Passport 的站点在 .NET Passport 中央服务器的域中发布一组加密的 Cookie，以简化站点间静态和无缝登录的过程。但是，站点可能仍然选择始终强制将成员重定向到 .NET Passport 登录，并且在第一次查看其站点时进行身份验证。
• 参与站点从未收到成员的密码。实际上，身份验证 Cookie 是一对加密的时间戳（用于声明成员登录的时间）。当成员通过单击 .NET Passport 注销链接选择注销时，就会将它们重定向到一个中心页，该页启用了从成员会话期间访问的所有站点中删除所有 .NET Passport Cookie 的操作。
• 参与网站和中央 .NET Passport 服务器之间没有服务器到服务器的实时通信。所有信息交换是通过客户端的浏览器进行的（使用 HTTP 重定向、查询字符串上的加密信息以及 Cookie）。仅当 .NET Passport 的服务器端对象（在 .NET Passport SDK 中提供）定期下载和本地缓存集中主持的 XML 配置文件时，才进行服务器到服务器通信；此 XML 文件包含所有 .NET Passport 服务器的当前 URL 和当前配置文件架构。