Microsoft 다이제스트를 사용하여 후속 요청 인증

참고

Windows 11 22H2부터 Microsoft는 wDigest라고도 하는 Microsoft 다이제스트를 더 이상 사용하지 않습니다. 지원되는 Windows 버전에서 Microsoft Digest를 계속 지원할 예정입니다. 이후 버전의 Windows에는 Microsoft 다이제스트에 대한 제한된 기능이 포함되며, 결국 Microsoft 다이제스트는 Windows에서 더 이상 지원되지 않습니다.

서버는 다이제스트 챌린지의 불투명 지시문을 사용하여 클라이언트에 공유 보안 컨텍스트 에 대한 참조를 보냅니다. 인증이 성공하면 클라이언트는 대상 서버에 대한 후속 요청에서 이 값을 지정해야 합니다. 기존 보안 컨텍스트를 사용하여 액세스할 수 있는 리소스에 대한 요청에 불투명 값을 포함하면 도메인 컨트롤러에서 다시 인증할 필요가 없습니다. 이러한 요청은 초기 인증 후에 캐시된 다이제스트 세션 키를 사용하여 서버에서 다시 인증됩니다.

다음 다이어그램은 액세스 보호 리소스에 대한 후속 요청 중에 클라이언트와 서버가 수행한 단계를 보여 줍니다.

인증에 성공한 후 추가 리소스를 요청하기 위해 클라이언트는 Microsoft Digest MakeSignature 함수를 호출하여 다이제스트 챌린지 응답을 생성합니다. 불투명 값은 서버에 전송된 챌린지 응답의 불투명 지시문에 권한 부여 헤더(HTTP 요청으로 표시됨)로 포함됩니다.

서버는 AcceptSecurityContext(다이제스트) 함수를 호출하여 클라이언트에 대한 기존 보안 컨텍스트 가 있는지 여부를 확인합니다. 기존 컨텍스트가 발견되면 함수는 SEC_E_COMPLETE_NEEDED 반환하여 서버가 CompleteAuthToken 함수를 호출해야 함을 나타냅니다. 이 함수는 도메인 컨트롤러에서 다시 인증하는 대신 초기 인증 중에 캐시된 다이제스트 세션 키를 사용하여 클라이언트 인증을 수행합니다.