身份验证是服务器验证某人是否是其声称的身份的过程。这通常涉及用户名和密码，但可以包括任何其他证明身份的方法（例如智能卡或指纹）。

VisualSVN Server supports Subversion and Windows authentication schemas. Subversion authentication relies on the internal users list maintained by VisualSVN Server while Windows authentication relies on Active Directory credentials.

There are two different authentication methods within Windows authentication scheme: Basic authentication and Integrated Windows Authentication. With Basic authentication method user's credentials are transmitted to the server in plain text while Integrated Windows Authentication method uses NTLM or Kerberos V5 authentication algorithms. Basic and Integrated Windows authentication methods can be combined with each other.

一般而言，集成 Windows 身份验证是基于 Windows 的企业环境的最佳选择。如果您被迫支持旧版 Subversion 客户端，也可以使用基本身份验证。如果您没有 Active Directory 域，请考虑使用 Subversion 身份验证。

下面简要介绍了所有可用的身份验证选项。

Subversion 身份验证

Subversion 身份验证依赖于 VisualSVN Server 维护的内部用户列表。此列表不包括 Active Directory 域用户，并且特定于 VisualSVN Server 实例。使用 VisualSVN Server Manager 创建和配置用户。

Subversion 身份验证是 VisualSVN Server 的默认身份验证选项。此选项具有以下优点和缺点：

优点：

• 最简单的配置选项。所有用户和组的列表都在 VisualSVN Server 中维护。不依赖于任何其他应用程序（例如 Active Directory 域控制器）。

• 隔离性好。用户凭证仅专用于 VisualSVN Server。因此，如果凭证被泄露，风险会更小。

缺点：

• 管理开销。由于要求您维护另一个用户凭据列表（假设您已经拥有 Active Directory 域内的用户列表），因此存在额外的管理开销。

• 无单点登录。始终会要求用户输入其用户名和密码。

• 密码缓存在磁盘上。Subversion 客户端将用户名和密码缓存在磁盘上。尽管密码以相对安全的方式存储，但这可能会导致重大的漏洞风险。

Windows 身份验证选项

Windows 身份验证使用户能够使用其 Windows 凭据访问 VisualSVN 服务器。此身份验证选项通常适用于拥有 Active Directory 域的客户。

Windows 身份验证中有两种不同的身份验证方法：

• 基本身份验证。要求用户输入其 Windows 用户名和密码，然后由 VisualSVN 服务器进行验证。

• 集成 Windows 身份验证。当前 Windows 凭据会自动用于向 VisualSVN Server 验证用户身份。

下面简要介绍了基本和集成 Windows 身份验证方法的优缺点。

基本 Windows 身份验证

基本身份验证是 HTTP 1.0 规范的一部分。如上所述，使用基本 Windows 身份验证时，用户需要输入其 Windows 用户名和密码。然后，此信息通过 HTTP(S) 协议传输，其中仅使用 Base64 编码进行编码。然后，VisualSVN Server 将验证这些凭据。

此身份验证方法具有以下优点和缺点：

优点：

• 无管理开销。您不需要维护单独的用户和组列表。

• 用户不需要记住额外的用户名和密码。他们使用自己的 Windows 凭据访问 VisualSVN 服务器。

缺点：

• 密码以纯文本形式传输。因此，除非使用安全的 HTTPS 协议，否则基本身份验证本质上是不安全的。

• 密码缓存在磁盘上。Subversion 客户端将用户名和密码缓存在磁盘上。尽管密码以相对安全的方式存储，但这可能会导致重大的漏洞风险。

• 无单点登录。尽管用户使用其 Windows 凭据进行身份验证，但仍要求他们输入用户名和密码才能访问 VisualSVN 服务器。

• 无双因素身份验证。基本身份验证不支持基于智能卡的访问控制。用户始终通过用户名和密码进行身份验证。

• 只有 Active Directory 域用户可以访问 VisualSVN Server。无法向在 Active Directory 域中没有帐户的用户（例如外部承包商）授予访问权限。

集成 Windows 身份验证

使用集成 Windows 身份验证（以前称为 NTLM 身份验证和 Windows NT 质询/响应身份验证）时，Subversion 客户端使用 NTLM 或 Kerberos V5 身份验证算法。客户端和服务器协商 Microsoft 的安全支持提供程序接口 (SSPI)。

集成 Windows 身份验证是使用 Windows 的 Intranet 环境的最佳身份验证方案。此身份验证方法具有以下优点和缺点：

优点：

• 最佳安全性。用户名和密码绝不会缓存在磁盘上或以不安全的方式传输。

• 无管理开销。您不需要维护单独的用户和组列表。

• 单点登录。当前 Windows 凭据将自动用于访问 VisualSVN 服务器。

• 双因素身份验证。集成的 Windows 身份验证允许您使用基于智能卡的访问控制。

缺点：

• 需要 Active Directory 域。如果没有 Active Directory 域，集成 Windows 身份验证将毫无用处。

• 只有 Active Directory 域用户可以访问 VisualSVN Server。无法向没有 Active Directory 域帐户的用户（例如外部承包商）授予 VisualSVN Server 的访问权限。

• 可能无法与旧版 Subversion 客户端配合使用。旧版 Subversion 客户端可能无法与集成 Windows 身份验证配合使用。