如果要給認(rèn)證下一個定義，我個人的傾向這樣的定義：認(rèn)證是確定被認(rèn)證方的真實(shí)身份和他或她申明（Claim）的身份是否相符的行為。認(rèn)證方需要被認(rèn)證方提供相應(yīng)的身份證明材料，以鑒定本身的身份是否與聲稱的身份相符。在計(jì)算機(jī)的語言中，這里的身份證明有一個專有的名稱，即“憑證”，或者用戶憑證、認(rèn)證憑證。

如果要給認(rèn)證下一個定義，我個人的傾向這樣的定義：認(rèn)證是確定被認(rèn)證方的真實(shí)身份和他或她申明（Claim）的身份是否相符的行為。認(rèn)證方需要被認(rèn)證方提供相應(yīng)的身份證明材料，以鑒定本身的身份是否與聲稱的身份相符。在計(jì)算機(jī)的語言中，這里的身份證明有一個專有的名稱，即“憑證（Credential）”，或者用戶憑證（User Credential）、認(rèn)證憑證（Authentication Credential）。

一、憑證的屬性

最好的設(shè)計(jì)就是能夠盡可能的模擬現(xiàn)實(shí)的設(shè)計(jì)。對于安全認(rèn)證來說，在現(xiàn)實(shí)生活中有無數(shù)現(xiàn)成的例子。比如我對一個不認(rèn)識的人說：“我是張三”，對方如何才能相信我真的是張三而非李四呢？雖然我們未必全都是有身份的人，但無疑我們都是有身份證的人，身份證可以證明我們的真實(shí)身份。而這里的身份證就是一種典型的憑證。認(rèn)證方能夠根據(jù)被認(rèn)證方提供的身份證識別對方的真實(shí)身份，必須滿足三個條件：

• 被認(rèn)證人聲稱是身份證上注明的那個人；
• 身份證的持有者就是身份證的擁有者；
• 身份證本身是合法有效的，即是通過公安機(jī)關(guān)頒發(fā)的，而不是通過撥打“辦證”電話辦理的。

第一個問題一般不是問題，因?yàn)閷τ谝粋€神經(jīng)稍微正常的人來說，他不會拿著李四的身份證去證明自己是張三；第二個問題可以根據(jù)身份證上面的照片來判斷；第三個問題就依賴于身份證本身的防偽標(biāo)識和認(rèn)證方的鑒別能力了。

上述的三個條件本質(zhì)上也反映了認(rèn)證過程中用戶憑證本身應(yīng)該具有的屬性，以及用戶憑證和被認(rèn)證人之間的關(guān)系。即：憑證與聲明的一致性，被認(rèn)證人對憑證的擁有性，以及憑證的合法性。為了簡單，我們不妨簡稱為用戶憑證的三個屬性。用戶憑證的類型決定了認(rèn)證的方式，WCF支持一系列不同類型的用戶憑證，以滿足不同認(rèn)證需求。接下來，我們來簡單介紹幾種使用比較普遍的憑證以及相應(yīng)的認(rèn)證方式。

二、用戶名/密碼認(rèn)證

我們最常使用的認(rèn)證方式莫過于采用驗(yàn)證用戶名和密碼的形式，以致于我們提到身份驗(yàn)證，很多人會想到密碼。我們不妨通過上面我們講到的用戶憑證的三屬性來分析用戶名/密碼憑證。

用戶名表示被認(rèn)證方聲明的身份（Identity），密碼是持有人是憑證合法擁有者的證據(jù)。對于認(rèn)證方來說，由于賬號對應(yīng)的密碼屬于賬號擁有者的私密信息，如果被認(rèn)證方能夠提供與他聲明身份相匹配的密碼，就能夠證明對方確實(shí)與他聲明的是同一個人。首先，用戶名代表身份（Identify），憑證與聲明的一致性意味著被認(rèn)證方聲明的身份與用戶名一致。被認(rèn)證人對憑證的擁有性通過密碼證明，密碼屬于絕對隱私信息，被認(rèn)證人如果能夠提供與所聲明的身份相匹配的密碼，就能夠證明他是憑證的真正擁有者；由于用戶名/密碼憑證不屬于證書型憑證，不需要合法機(jī)構(gòu)頒發(fā)，對于合法性則無從說起。

在采用用戶名/密碼認(rèn)證方式的應(yīng)用中，認(rèn)證方一般具有所有用戶帳號和密碼的列表。當(dāng)然，由于密碼對屬于持有人的絕對隱私，原則上僅限于持有人本人知曉，其他人任何人（當(dāng)然也包括認(rèn)證方）不應(yīng)該采用技術(shù)手段獲知該密碼。如果認(rèn)證方維護(hù)者他負(fù)責(zé)認(rèn)證的所有帳戶的用戶名和密碼的列表，被存儲的一般是原始密碼的哈希值以及進(jìn)行哈希運(yùn)算采用的Key。由于哈希算法是不可逆的，所以無法通過后哈希的值和相應(yīng)的Key得到原始的值，從而確保了密碼的安全性。在進(jìn)行認(rèn)證的時候，只需要根據(jù)用戶名找到相應(yīng)的Key，然后利用該Key采用相同的算法對用戶提供的密碼進(jìn)行哈希算法，最終將最終的運(yùn)算結(jié)果和本地存儲的值進(jìn)行比較即可驗(yàn)證密碼的真?zhèn)巍?/p>

雖然在我們進(jìn)行項(xiàng)目開發(fā)的時候，我們也會選擇對用戶注冊時提供的密碼進(jìn)行加密存儲，這樣可以讓用戶忘記原來的密碼的時候，通過向認(rèn)證方證明其真實(shí)身份的前提下，讓認(rèn)證方通過通過解密返回其原來的密碼。對于密碼的加密存儲問題，無論是采用對稱加密還是非對稱加密，我們都可以通過相應(yīng)的解密算法得到其原始密碼，所以從理論上講具有安全問題。不過，具體應(yīng)用在選擇密碼存儲策略的時候，可以根據(jù)自身所需的安全級別以及是否需要返回原始密碼，選擇對原始密碼進(jìn)行哈?；蛘呒用?。但是，無論如何對密碼進(jìn)行明文存儲是不被允許的。

如果你選擇了用戶名/密碼憑證，WCF為你提供了三種認(rèn)證模式：

• 將用戶名映射為Windows帳號，采用Windows認(rèn)證；
• 采用ASP.NET的成員資格（Membership）模塊
• 通過繼承UserNamePasswordValidator，實(shí)現(xiàn)自定義認(rèn)證。

三、Windows認(rèn)證

應(yīng)該說就采用的頻率程度，集成Windows認(rèn)證（IWA：Integrated Windows Authentication）是僅次于用戶名/密碼的認(rèn)證方式。尤其是在基于Windows活動目錄（AD：Active Directory）的Intranet應(yīng)用來說，Windows認(rèn)證更是成為首選。微軟幾乎所有需要進(jìn)行認(rèn)證的產(chǎn)品或者開發(fā)平臺都集成了Windows認(rèn)證，比如IIS，SQL Server，ASP.NET等，當(dāng)然，WCF也不可能例外。

Windows是實(shí)現(xiàn)單點(diǎn)登錄（SSO：Single Sign-On）最理想的方式。無論是采用域（Domain）模式還是工作組（Workgroup）模式，只要你以Windows帳號和密碼登錄到某一臺機(jī)器，你就會得到一個憑證。在當(dāng)前會話超時之前，你就可以攜帶該Windows憑證，自動登錄到集成了Windows認(rèn)證方式的所有應(yīng)用，而無須頻繁地輸入相同的Windows帳號和密碼。如果登錄帳號不具有操作目標(biāo)應(yīng)用的權(quán)限，在一般情況下，你好可以通過重新輸入Windows帳號和相應(yīng)的密碼（如果當(dāng)前用戶具有多個Windows帳號）以另外一個身份（該身份具有對目標(biāo)應(yīng)用進(jìn)行操作的訪問權(quán)限）對目標(biāo)應(yīng)用進(jìn)行操作。

就其實(shí)現(xiàn)來說，Windows具有兩種不同的認(rèn)證協(xié)議，即NTLM（NT LAN Manager）和Kerberos。關(guān)于這兩種認(rèn)證機(jī)制大體上的原理，可以參考我寫的兩篇文章：

Windows安全認(rèn)證是如何進(jìn)行的？[Kerberos篇]
Windows安全認(rèn)證是如何進(jìn)行的？[NTLM篇]

在《下篇》中，我們著重討論基于X.509數(shù)字證書的憑證。