Autenticazione di richieste successive con Microsoft Digest

Nota

A partire da Windows 11 22H2, Microsoft deprecato Microsoft Digest, noto anche come wDigest. Continuerà a supportare Microsoft Digest nelle versioni supportate di Windows. Le versioni future di Windows includono funzionalità limitate per Microsoft Digest e alla fine Microsoft Digest non saranno più supportate in Windows.

Il server invia al client un riferimento al contesto di sicurezza condiviso usando la direttiva opaca della sfida Digest. Dopo un'autenticazione riuscita, il client deve specificare questo valore nelle richieste successive al server di destinazione. Incluso il valore opaco nelle richieste per le risorse accessibili usando il contesto di sicurezza esistente, elimina la necessità di eseguire nuovamente l'autenticazione nel controller di dominio. Tali richieste vengono ri autenticate nel server usando la chiave di sessione Digest memorizzata nella cache dopo l'autenticazione iniziale.

Il diagramma seguente illustra i passaggi eseguiti dal client e dal server durante una richiesta successiva per le risorse protette dall'accesso.

Per richiedere risorse aggiuntive dopo un'autenticazione riuscita, il client chiama la funzione Microsoft Digest MakeSignature per generare una risposta di sfida digest. Il valore opaco è incluso nella direttiva opaca della risposta di richiesta inviata al server come intestazione di autorizzazione (visualizzata come richiesta HTTP).

Il server chiama la funzione AcceptSecurityContext (Digest) per determinare se è presente un contesto di sicurezza esistente per il client. Quando viene trovato un contesto esistente, la funzione restituisce SEC_E_COMPLETE_NEEDED per indicare che il server deve quindi chiamare la funzione CompleteAuthToken . Questa funzione esegue l'autenticazione client usando la chiave di sessione Digest memorizzata nella cache durante l'autenticazione iniziale anziché eseguire nuovamente l'autenticazione nel controller di dominio.