SQL Server的安裝有兩個(gè)關(guān)于安全模式的選項(xiàng)。它們之間的差別在于由哪一個(gè)軟件執(zhí)行認(rèn)證過程。認(rèn)證是一個(gè)確認(rèn)將要連接SQL Server的用戶身份的過程。一旦執(zhí)行了認(rèn)證，SQL Server就能驗(yàn)證這個(gè)用戶是否具有許可來連接一個(gè)被請(qǐng)求的資源，例如一個(gè)數(shù)據(jù)庫。如果用戶具有連接數(shù)據(jù)庫的許可，那么SQL Server將允許連接請(qǐng)求成功，否則，連接失敗。這個(gè)驗(yàn)證用戶許可的過程還被稱為授權(quán)。

　　· Windows Authentication(還被稱為Trusted Authentication或者Integrated Security)使用進(jìn)行連接請(qǐng)求過程的Windows用戶身份來執(zhí)行對(duì)數(shù)據(jù)庫的授權(quán)。在這種情況下，連接字符串不必提供顯式的用戶名和密碼。asp.net以一個(gè)名為"ASPNET"的本地用戶來運(yùn)行(或者在IIS 6.0當(dāng)中使用用戶名"Network Service")，所以當(dāng)使用Windows Authentication時(shí)，SQL將會(huì)檢查這個(gè)用戶是否擁有使用數(shù)據(jù)庫的許可。此時(shí)，所有的ASP.NET應(yīng)用程序都用這個(gè)相同的用戶運(yùn)行，所以該安全模式對(duì)這些應(yīng)用程序一視同仁。雖然可以在單獨(dú)的ASP.NET進(jìn)程中運(yùn)行每一個(gè)應(yīng)用程序(單獨(dú)的用戶運(yùn)行每個(gè)程序)，或者可以模擬進(jìn)行連接請(qǐng)求的瀏覽器客戶的Windows用戶身份，但是這些內(nèi)容都超出了本書所要講述的范圍。不過，客戶模擬的情況在Web應(yīng)用程序中是Windows Authentication最常見的使用方式。

　　· SQL Authentication針對(duì)在SQL Server內(nèi)配置的用戶來檢查顯式提供的用戶名和密碼(無需涉及操作系統(tǒng))。在這種情況下，在ASP.NET進(jìn)程中運(yùn)行的每個(gè)應(yīng)用程序都能以單獨(dú)的證書來連接數(shù)據(jù)庫，這樣就把應(yīng)用程序合理地隔離開了(應(yīng)用程序A如果沒有B的用戶名和密碼就不能連接至B的數(shù)據(jù)庫)。這是用于部署的Web應(yīng)用程序的最常見認(rèn)證模式，特別是在共享宿主的情況下。它的一個(gè)小缺點(diǎn)就是需要應(yīng)用程序保留用于連接的用戶賬戶的密碼，并且如果該密碼被惡意用戶獲取，那么將危及數(shù)據(jù)庫的安全。但是，在本書后面將會(huì)看到，ASP.NET提供了一個(gè)安全的方式，將SQL Authentication密碼以加密的格式保存在Web.config文件中，這樣就降低了密碼被獲取的風(fēng)險(xiǎn)。

　　· Mixed Mode是SQL Server的配置，它既允許Windows Authentication，也允許SQL Authentication。

　　在安裝SQL Server或者SSE時(shí)，要選擇一種認(rèn)證模式。在SQL Server中，有向?qū)?huì)在安全步驟中幫助選擇，而在SSE中，默認(rèn)選擇是Windows Authenti cation。如果要安裝SQL Authentication，就必須顯式地配置。本文使用的是Windows Authentication。

　　如果已經(jīng)安裝了SQL Server或者SSE，就能通過打開RegEdit來查看所指定的認(rèn)證模式(當(dāng)然需要先備份)，找到HKey_Local_Machine/Software/Microsoft/Microsoft SQL Server并搜索LoginMode。值為1的注冊(cè)子鍵表示W(wǎng)indows Auth entication，而值2表示Mixed Authentication模式。

　　表3-1總結(jié)了這些模式之間的區(qū)別。

　　表3-1