ISAPI_rewrite中文手册

发表于2011年11月7日由kaisin

配置：
在NT 2000
XP和2003平台上，在系统帐户下应该INETINFO程序应该与IIS5以共存模式过滤器运行。所以系统帐户应该给予对所有的ISAPI-
REWIRITE DLLS
和所有的HTTPD。INI文件至少可读权限，我们也推荐对给予系统帐户对于所有包括HTTPD。INI文件的文件夹的可写权限，这将允许产生HTTP。
PARSE。ERRORS文件，这些文件包含配置文件语法错误。对于PROXY模块也需要额外的权限，因为它将运行于连接池或HIGH-ISPLATED
应用模式，IIS帐户共享池和HIGH-ISOLATION池应被给予
对RWHELPERE。DLL的可读权限。缺省情况下IWAM-《计算机名》被用于所有的池，在相应的COM+应用设置中应借助
COM+ADMINISTRATION MMC SNAP-IN建立池帐户
配置文件格式化：

有两种形式的配置文件
-GLOBAL（SERVER-LEVEL）和INDIVIDUAL（SITE-LEVAL）文件，GLOBAL配置文件应被命名为HTTPD.INI并
出现在ISAPI-REWRITE安装目录中，文件的快捷方式通过开始菜单提供，INDIVIDUAL配置文件应名为HTTPD。INI并且能够出现在虚
拟站点的物理根目录中，两种类型的格式化是相同的并是标准的WINDOWS。INI文件，所有的指令都应该放在这一部分并且所有指令都应该以分隔线放置，
任何这一部分以外的文本都将被忽略

HTTPD.INI文件示例

[ISAPI_Rewrite]

# This is a comment

# 300 = 5 minutes
CacheClockRate 300
RepeatLimit 20

# Block external access to the httpd.ini and httpd.parse.errors files
RewriteRule /httpd(?:.ini|.parse.errors) / [F,I,O]

# Block external access to the Helper ISAPI Extension
RewriteRule .*.isrwhlp / [F,I,O]

# Some custom rules
RewriteCond Host: (.+)

RewriteCond 指令

Syntax:（句法） RewriteCond TestVerb CondPattern [Flags]
这一指令定义一个条件规则，在 RewriteRule 或者 RewriteHeader或 RewriteProxy指令前预行RewriteCond指令，后面的规则只有它的，模式匹配URI的当前状态并且额外的条件也被应用才会被应用。

TestVerb

Specifies verb that will be matched against regular expression.
特别定义的动词匹配规定的表达式
TestVerb=(URL | METHOD | VERSION | HTTPHeaderName: | %ServerVariable) where:

URL - returns Request-URI of client request as described in RFC 2068 (HTTP 1.1);
返回客户端在RFC2068中描述的需求的Request-URI
METHOD - returns HTTP method of client request (OPTIONS, GET, HEAD, POST, PUT, Delete or TRACE);
返回客户端需求(OPTIONS, GET, HEAD, POST, PUT, Delete or TRACE)的HTTP方法
VERSION - returns HTTP version;
返回HTTP版本
HTTPHeaderName
- returns value of the specified HTTP header. HTTPHeaderName can be any
valid HTTP header name. Header names should include the trailing colon
":". If specified header does not exists in a client's request TestVerb
is treated as empty string.
返回特定义的HTTP头文件的值
HTTPHeaderName =
Accept:
Accept-Charset:
Accept-Encoding:
Accept-Language:
Authorization:
Cookie:
From:
Host:
If-Modified-Since:
If-Match:
If-None-Match:
If-Range:
If-Unmodified-Since:
Max-Forwards:
Proxy-Authorization:
Range:
Referer:
User-Agent:
Any-Custom-Header
得到更多的关于HTTP头文件的和他们的值的信息参考RFC2068

ServerVariable 返回特定义的服务器变量的值。例如服务器端口，全部服务器变量列表应在IIS文档中建立，变量名应用%符预定；
CondPattern
The regular expression to match TestVerb
规则表达式匹配TestVerb
[Flags]
Flags is a comma-separated list of the following flags:

O (nOrmalize)
Normalizes
string before processing. Normalization includes removing of an
URL-encoding, illegal characters, etc. This flag is useful with URLs and
URL-encoded headers
RewriteRule 指令
Syntax: RewriteRule Pattern FormatString [Flags]
这个指令可以不止发生一次，每个指令定义一个单独的重写规则，这些规则的定义命令很重要，因为这个命令在应用运行时规则是有用途的

I (ignore case）
不管大小写强行指定字符匹配，这个FLAG影响RewriteRule指令和相应的RewriteCond 指令
F (Forbidden)
对客户端做反应，停止REWRITING进程并且发送403错误，注意在这种情况下FORMATSTRING 是无用的并可以设置为任何非空字符串。
L (last rule)
不应用任何重写规则在此停止重写进程，使用这个FLAG以阻止当前被重写的URI被后面的规则再次重写
N (Next iteration)
强制REWRITINGENGINE调整规则目标并且从头重启规则检查（所有修改将保存），重启次数由RepeatLimit指定的值限制，如果这个数值超过N FLAG将被忽略
NS (Next iteration of the same rule)
以N标记工作不从相同的规则重启规则规则进程（例如强制重复规则应用），通过RepeatLimit指令指定一个反复实行某一规则的最大数目，
P (force proxy)
强制目的URI在内部强制为代理需求并且立即通过ISAPI扩展应付代理需求，必须确认代理字符串是一个有效的URI包括协议主机等等否则代理将返回错误
R (explicit redirect）
强制服务器对客户端发出重定向指示即时应答，提供目的URI的新地址，重定向规则经常是最后规则
RP (permanent redirect)
几乎和[R]标记相同但是发布301HTTP状态而不是302HTTP状态代码
U (Unmangle Log)
当URI是源需求而不是重写需求时记载URI
O (nOrmalize)
在实行之前标准化字符串。标准化包括URL-ENCODING，不合法的字符的再移动等，这个标记对于URLS和URLS-ENDODED头是有用的
CL (Case Lower)
小写
CU (Case Upper)
大写
RewriteHeader directive
Syntax: RewriteHeader HeaderName Pattern FormatString [Flags]
这个指令是RewriteRule的更概括化变种，它不仅重写URL的客户端需求部分，而且重写HTTP头，这个指令不仅用于重写。生成，删除任何HTTP头，甚至改变客户端请求的方法
HeaderName
指定将被重写的客户头，可取的值与 RewriteCond 指令中TestVerb参数相同

Pattern
限定规则表达式以匹配Request-URI，
FormatString
限定将生成新的URI的FormatString
[Flags]
是一个下列FLAGS的命令分隔列表
I (ignore case）
不管大小写强行指定字符匹配，这个FLAG影响RewriteRule指令和相应的RewriteCond 指令
F (Forbidden)
对客户端做反应，停止REWRITING进程并且发送403错误，注意在这种情况下FORMATSTRING 是无用的并可以设置为任何非空字符串。
L (last rule)
不应用任何重写规则在此停止重写进程，使用这个FLAG以阻止当前被重写的URI被后面的规则再次重写
N (Next iteration)
强制REWRITINGENGINE调整规则目标并且从头重启规则检查（所有修改将保存），重启次数由RepeatLimit指定的值限制，如果这个数值超过N FLAG将被忽略

NS (Next iteration of the same rule)
以N标记工作不从相同的规则重启规则规则进程（例如强制重复规则应用），通过RepeatLimit指令指定一个反复实行某一规则的最大数目，

R (explicit redirect）
强制服务器对客户端发出重定向指示即时应答，提供目的URI的新地址，重定向规则经常是最后规则
RP (permanent redirect)
几乎和[R]标记相同但是发布301HTTP状态而不是302HTTP状态代码
U (Unmangle Log)
当URI是源需求而不是重写需求时记载URI
O (nOrmalize)
在实行之前标准化字符串。标准化包括URL-ENCODING，不合法的字符的再移动等，这个标记对于URLS和URLS-ENDODED头是有用的
CL (Case Lower)
小写
CU (Case Upper)
大写

要重移动头，FORMAT STRING模式应该生成一个空字符串，例如这一规则将从客户请求中重移代理信息
RewriteHeader User-Agent: .* $0
并且这一规则将把OLD-URL HEADER 加入请求中。
RewriteCond URL (.*)RewriteHeader Old-URL: ^$ $1
最后一个例子将通过改变请求方法定向所有的WEBDAV请求到/WEBDAV。ASP
RewriteCond METHOD OPTIONS
RewriteRule (.*) /webdav.asp?$1
RewriteHeader METHOD OPTIONS GET
RewriteProxy directive
Syntax: RewriteProxy Pattern FormatString [Flags]
强制目的URI在内部强制为代理需求并且立即通过ISAPI扩展应付代理需求，这将允许IIS作为代理服务器并且重路由到其他站点和服务器
Pattern
限定规则表达式以匹配Request-URI，
FormatString
限定将生成新的URI的FormatString
[Flags]
是一个下列FLAGS的命令分隔列表
D (Delegate security)
代理模式将试图以当前假冒的用户资格登陆远程服务器，
C (use Credentials)
代理模式将试图一在URL或基本授权头文件中指定的资格登陆远程服务器，用这个标记你可以使用http://user:password@host.com/path/ syntax 作为URL
F (Follow redirects)
缺省情况下ISAPI_Rewrite 将试图将MAP远程服务器返回的重定向指令到本地服务器命名空间，如果远程服务器返回重定向点到那台服务器其他的某个位置，ISAPI_Rewrite 将修改这一重定向指令指向本服务器名，这将避免用户看到真实（内部）服务器名称
使用F标记强制代理模式内部跟踪远程服务器返回的重定向指令，使用这个标记如果你根本不需要接受远程服务器的重定向指令，在WINHTTP设置中有重定向限制以避免远程重定向循环
I (ignore case)
不管大小写强行指定字符匹配
U (Unmangle Log)
当URI是源需求而不是重写需求时记载URI
O (nOrmalize)
在实行之前标准化字符串。标准化包括URL-ENCODING，不合法的字符的再移动等，这个标记对于URLS和URLS-ENDODED头是有用的
CacheClockRate directive
Syntax: CacheClockRate Interval
这个指令只在GLOBAL配置内容中出现，如果这个指令在SITE-LEVEL内容中出现将被忽略并把错误信息写入httpd.parse.errors 文件
ISAPI_Rewrite

caches每次在第一次加载时配置，使用这个指令你可以限定当一个特定站点从缓存中清理的不活动周期，把这个参数设置的足够大你可以强制
ISAPI_Rewrite 永不清理缓存，记住任何配置文件的改变将在下次请求后立即更新而忽略这个周期
Interval
限定特定配置被清理出缓存的不作为时间（以秒计），缺省值3600（1小时）
EnableConfig and DisableConfig directives
Syntax:
EnableConfig [SiteID|"Site name"]
DisableConfig [SiteID|"Site name"]
对所选站点激活或不激活SITE-LEVEL配置或者改变缺省配置，缺省SITE-LEVEL配置不激活，这个指令只出现在GLOBAL配置内容中
SiteID
Numeric metabase identifier of a site

Site name
Name of the site as it appears in the IIS console
不用参数使用这个命令将改变缺省配置到ENABLE/DISABLE配置进程
例子
下面例子将使配置仅作用于ID=1（典型是缺省站点）名字是MY SITE的站点
DisableConfig
EnableConfig 1
EnableConfig"My site"
下边例子将激活名称为SOMESITE配置因为它分割设置重载了缺省设置
EnableConfig"Some site"
DisableConfig
EnableRewrite and DisableRewrite directives
Syntax:
EnableRewrite [SiteID|"Site name"]
DisableRewrite [SiteID|"Site name"]
对所选站点激活或不激活重写或者改变缺省配置，缺省重写配置激活，这个指令只出现在GLOBAL配置内容中
SiteID
Numeric metabase identifier of a site

Site name
Name of the site as it appears in the IIS console.

不使用参数这个命令将全部激活或者不激活
RepeatLimit directive
Syntax: RepeatLimit Limit
这个指令可以出现在GLOBAL和SITE-LEVEL配置文件中，如果出现在GLOBAL配置文件中竟改变GLOBAL对于所有站点的限制，出现在SITE-LEVEL配置中竟只改变对于这个站点的限制并且这个限制不能超过GLOBAL限制
ISAPI_Rewrite在实行规则时允许循环，这个指令允许限制最大可能循环的数量，可以设置为0或1而不支持循环，
LIMIT
限制最大循环数量，缺省32
RFStyle directive
Syntax: RFStyle Old | New
Configuration Utility
ISAPI_Rewrite Full包括配置功用（可以在 ISAPI_Rewrite 程序组中启动），它允许你浏览测试状态并输入注册码（如果在安装过程中没有注册），并且调整部分与代理模式操作相关的产品功能，UTILITY是由三个页面组成的属性表
Trial page允许你浏览TIRAL状态并输入注册码（如果在安装过程中没有注册）
Settings page
这页包含对下列参数的编辑框

Helper URL
这个参数影响过滤器和代理模块之间的联系方式，它即可以是以点做前缀的文件扩展名（如 .isrwhlp）也可以是绝对路径，
第
一种情况下扩展名将追加在初始请求URI上并且代理模块竟通过SCRIPT MAP激活，缺省扩展名isrwhlp在安装进程中加在global
script map 中，如果你改变这个扩展名或者你的应用不继承global script map 设置你应该手动添加向script map
所需求的入口。这个应该有如下参数
Executable: An absolute path to the rwhelper.dll in the short form
Extension: Desired extension (.isrwhlp is default)
Verbs radio button: All Verbs
Script engine checkbox: Checked
Check that file exists checkbox: Unchecked
我们已经创建了一个WSH script proxycfg.vbs ，可以简单在一个a script maps中注册，她位于安装文件夹并且可以在命令行一如下方式运行
cscript proxycfg.vbs [-r] [MetabasePath]
Optional -r 强制注册扩展名
Optional MetabasePath parameter allows specification of the first metabase key to process. By default it is "/localhost/W3SVC".
要在所有现存的 script maps 中注册你可以以如下命令行激活 script
cscript proxycfg.vbs -r
第二种情况下你应该提供一个URI作为'Helper URL'的值，你也应该map 一个 ISAPI_Rewrite的安装文件夹作为美意个站点的虚拟文件家
注意：根据顾客反应，IIS5（也许包括IIS4）对长目录名有问题。所以我们强烈推荐使用短目录名
Worker threads limit
这个参数限制在代理扩展线程池中工作线程数，缺省为0意味着这个限制等于处理器数量乘以2
Active threads limit
这个参数限制当前运行线程数，这个数量不可大于"Worker threads limit". 缺省0意思是等于处理器数量
Queue size 这个参数定义最大请求数量，如果你曾经看到Queue timeout expired" 信息在 the Application event log中你可以增加这个参数
Queue timeout
这个参数定义你在内部请求队列中防止新请求的最大等待时间，如果你曾经看到Queue timeout expired" 信息在 the Application event log中你可以增加这个参数
Connect timeout
以毫秒设定代理模块连接超时
Send timeout
以毫秒设定代理模块发送超时
Receive timeout
以毫秒设定代理模块发送超时
About page.
It contains copyright information and a link to the ISAPI_Rewrite's web site.

Regular expression syntax
这一部分覆盖了 ISAPI_Rewrite规定的表达句法
Literals
所有字符都是原意除了 ".", "*", "?", "+", "(", ")", "{", "}", "[", "]", "^" and "$".，这些字符在用“”处理时是原意，原意指一个字符匹配自身
Wildcard
The dot character "." matches any single character except null character and newline character
以下为句法
Repeats
A
repeat is an expression that is repeated an arbitrary number of times.
An expression followed by "*" can be repeated any number of times
including zero. An expression followed by "+" can be repeated any
number of times, but at least once. An expression followed by "?" may
be repeated zero or one times only. When it is necessary to specify the
minimum and maximum number of repeats explicitly, the bounds operator
"{}" may be used, thus "a{2}" is the letter "a" repeated exactly twice,
"a{2,4}" represents the letter "a" repeated between 2 and 4 times, and
"a{2,}" represents the letter "a" repeated at least twice with no upper
limit. Note that there must be no white-space inside the {}, and there
is no upper limit on the values of the lower and upper bounds. All
repeat expressions refer to the shortest possible previous
sub-expression: a single character; a character set, or a
sub-expression grouped with "()" for example.

Examples:

"ba*" will match all of "b", "ba", "baaa" etc.
"ba+" will match "ba" or "baaaa" for example but not "b".
"ba?" will match "b" or "ba".
"ba{2,4}" will match "baa", "baaa" and "baaaa".
Non-greedy repeats
Non-greedy
repeats are possible by appending a '?' after the repeat; a non-greedy
repeat is one which will match the shortest possible string.

For example to match html tag pairs one could use something like:

"<s*tagname[^>]*>(.*?)<s*/tagnames*>"

In this case $1 will contain the text between the tag pairs, and will be the shortest possible matching string.

Parenthesis
Parentheses
serve two purposes, to group items together into a sub-expression, and
to mark what generated the match. For example the expression "(ab)*"
would match all of the string "ababab". All sub matches marked by
parenthesis can be back referenced using N or $N syntax. It is
permissible for sub-expressions to match null strings. Sub-expressions
are indexed from left to right starting from 1, sub-expression 0 is
the whole expression.

Non-Marking Parenthesis
Sometimes you
need to group sub-expressions with parenthesis, but don't want the
parenthesis to spit out another marked sub-expression, in this case a
non-marking parenthesis (?:expression) can be used. For example the
following expression creates no sub-expressions:

"(?:abc)*"

Alternatives
Alternatives
occur when the expression can match either one sub-expression or
another, each alternative is separated by a "|". Each alternative is the
largest possible previous sub-expression; this is the opposite
behaviour from repetition operators.

Examples:

"a(b|c)" could match "ab" or "ac".
"abc|def" could match "abc" or "def".
Sets
A
set is a set of characters that can match any single character that is a
member of the set. Sets are delimited by "[" and "]" and can contain
literals, character ranges, character classes, collating elements and
equivalence classes. Set declarations that start with "^" contain the
compliment of the elements that follow.

Examples:

Character literals:

"[abc]" will match either of "a", "b", or "c".
"[^abc] will match any character other than "a", "b", or "c".
Character ranges:

"[a-z]" will match any character in the range "a" to "z".
"[^A-Z]" will match any character other than those in the range "A" to "Z".
Character classes
Character
classes are denoted using the syntax "[:classname:]" within a set
declaration, for example "[[:space:]]" is the set of all whitespace
characters. The available character classes are:

alnum Any alpha numeric character.
alpha Any alphabetical character a-z and A-Z. Other characters may also be included depending upon the locale.
blank Any blank character, either a space or a tab.
cntrl Any control character.
digit Any digit 0-9.
graph Any graphical character.
lower Any lower case character a-z. Other characters may also be included depending upon the locale.
print Any printable character.
punct Any punctuation character.
space Any whitespace character.
upper Any upper case character A-Z. Other characters may also be included depending upon the locale.
xdigit Any hexadecimal digit character, 0-9, a-f and A-F.
word Any word character - all alphanumeric characters plus the underscore.
unicode Any character whose code is greater than 255, this applies to the wide character traits classes only.

There are some shortcuts that can be used in place of the character classes:

w in place of [:word:]
s in place of [:space:]
d in place of [:digit:]
l in place of [:lower:]
u in place of [:upper:]
Collating elements
Collating
elements take the general form [.tagname.] inside a set declaration,
where tagname is either a single character, or a name of a collating
element, for example [[.a.]] is equivalent to [a], and [[.comma.]] is
equivalent to [,]. ISAPI_Rewrite supports all the standard POSIX
collating element names, and in addition the following digraphs: "ae",
"ch", "ll", "ss", "nj", "dz", "lj", each in lower, upper and title case
variations. Multi-character collating elements can result in the set
matching more than one character, for example [[.ae.]] would match two
characters, but note that [^[.ae.]] would only match one character.

Equivalence classes
Equivalenceclassestakethegeneralform[=tagname=]
inside a set declaration, where tagname is either a single character,
or a name of a collating element, and matches any character that is a
member of the same primary equivalence class as the collating element
[.tagname.]. An equivalence class is a set of characters that collate
the same, a primary equivalence class is a set of characters whose
primary sort key are all the same (for example strings are typically
collated by character, then by accent, and then by case; the primary
sort key then relates to the character, the secondary to the
accentation, and the tertiary to the case). If there is no equivalence
class corresponding to tagname, then [=tagname=] is exactly the same as
[.tagname.].

To include a literal "-" in a set declaration then:
make it the first character after the opening "[" or "[^", the endpoint
of a range, a collating element, or precede it with an escape character
as in "[-]". To include a literal "[" or "]" or "^" in a set then make
them the endpoint of a range, a collating element, or precede with an
escape character.

Line anchors
An anchor is something that
matches the null string at the start or end of a line: "^" matches the
null string at the start of a line, "$" matches the null string at the
end of a line.

Back references
A back reference is a
reference to a previous sub-expression that has already been matched,
the reference is to what the sub-expression matched, not to the
expression itself. A back reference consists of the escape character ""
followed by a digit "1" to "9", "1" refers to the first
sub-expression, "2" to the second etc. For example the expression
"(.*)1" matches any string that is repeated about its mid-point for
example "abcabc" or "xyzxyz". A back reference to a sub-expression that
did not participate in any match, matches the null string. In
ISAPI_Rewrite all back references are global for entire RewriteRule and
corresponding RewriteCond directives. Sub matches are numbered up to
down and left to right beginning from the first RewriteCond directive of
the corresponding RewriteRule directive, if there is one.

Forward Lookahead Asserts
There are two forms of these; one for positive forward lookahead asserts, and one for negative lookahead asserts:

"(?=abc)" matches zero characters only if they are followed by the expression "abc".
"(?!abc)" matches zero characters only if they are not followed by the expression "abc".

Word operators
The following operators are provided for compatibility with the GNU regular expression library.

"w"
matches any single character that is a member of the "word" character
class, this is identical to the expression "[[:word:]]".
"W"
matches any single character that is not a member of the "word"
character class, this is identical to the expression "[^[:word:]]".
"<" matches the null string at the start of a word.
">" matches the null string at the end of the word.
"" matches the null string at either the start or the end of a word.
"B" matches a null string within a word.
Escape operator
The escape character "" has several meanings.

The escape operator may introduce an operator for example: back references, or a word operator.
The
escape operator may make the following character normal, for example
"*" represents a literal "*" rather than the repeat operator.
Single character escape sequences:
The following escape sequences are aliases for single characters:

Escape sequence Character code Meaning
a 0x07 Bell character.
0x09 Tab character.
v 0x0B Vertical tab.
e 0x1B ASCII Escape character.
dd 0dd An octal character code, where dd is one or more octal digits.
xXX 0xXX A hexadecimal character code, where XX is one or more hexadecimal digits.
x{XX} 0xXX A hexadecimal character code, where XX is one or more hexadecimal digits, optionally a unicode character.
cZ z-@ An ASCII escape sequence control-Z, where Z is any ASCII character greater than or equal to the character code for '@'.

Miscellaneous escape sequences:
The
following are provided mostly for perl compatibility, but note that
there are some differences in the meanings of l L u and U:

Escape sequence Meaning
w Equivalent to [[:word:]].
W Equivalent to [^[:word:]].
s Equivalent to [[:space:]].
S Equivalent to [^[:space:]].
d Equivalent to [[:digit:]].
D Equivalent to [^[:digit:]].
l Equivalent to [[:lower:]].
L Equivalent to [^[:lower:]].
u Equivalent to [[:upper:]].
U Equivalent to [^[:upper:]].
C Any single character, equivalent to '.'.
X Match any Unicode combining character sequence, for example "ax 0301" (a letter a with an acute).
Q The begin quote operator, everything that follows is treated as a literal character until a E end quote operator is found.
E The end quote operator, terminates a sequence begun with Q.
What gets matched?
The
regular expression will match the first possible matching string, if
more than one string starting at a given location can match then it
matches the longest possible string. In cases where their are multiple
possible matches all starting at the same location, and all of the same
length, then the match chosen is the one with the longest first
sub-expression, if that is the same for two or more matches, then the
second sub-expression will be examined and so on. Note that
ISAPI_Rewrite uses MATCH algorithm. The result is matched only if the
expression matches the whole input sequence. For example:

RewriteCond URL ^/somedir/.* #will match any request to somedir directory and subdirectories, while
RewriteCond URL ^/somedir/ #will match only request to the root of the somedir.
Special note about "pathological" regular expressions
ISAPI_Rewrite
uses a very powerful regular expressions engine Regex++ written by Dr.
John Maddock. But as any real thing it's not ideal: There exists some
"pathological" expressions which may require exponential time for
matching; these all involve nested repetition operators, for example
attempting to match the expression "(a*a)*b" against N letter a's
requires time proportional to 2N. These expressions can (almost) always
be rewritten in such a way as to avoid the problem, for example
"(a*a)*b" could be rewritten as "a*b" which requires only time linearly
proportional to N to solve. In the general case, non-nested repeat
expressions require time proportional to N2, however if the clauses are
mutually exclusive then they can be matched in linear time - this is
the case with "a*b", for each character the matcher will either match an
"a" or a "b" or fail, where as with "a*a" the matcher can't tell which
branch to take (the first "a" or the second) and so has to try both.

Boost
1.29.0 Regex++ could detect "pathological" regular expressions and
terminate theirs matching. When a rule fails ISAPI_Rewrite sends "500
Internal Server error - Rule Failed" status to a client to indicate
configuration error. Also the failed rule is disabled to prevent
performance losses
Format string syntax
In format strings, all characters are treated as literals except: "(", ")", "$", "", "?", ":".

To use any of these as literals you must prefix them with the escape character

The following special sequences are recognized:

Grouping:
Use
the parenthesis characters ( and ) to group sub-expressions within the
format string, use ( and ) to represent literal '(' and ')'.

Sub-expression expansions:
The following perl like expressions expand to a particular matched sub-expression:

$`
Expands to all the text from the end of the previous match to the start
of the current match, if there was no previous match in the current
operation, then everything from the start of the input string to the
start of the match.
$' Expands to all the text from the end of the match to the end of the input string.
$& Expands to all of the current match.
$0 Expands to all of the current match.
$N Expands to the text that matched sub-expression N.

Conditional expressions:
Conditional
expressions allow two different format strings to be selected
dependent upon whether a sub-expression participated in the match or
not:

?Ntrue_expression:false_expression

Executes true_expression if sub-expression N participated in the match, otherwise executes false_expression.

Example:
suppose we search for "(while)|(for)" then the format string
"?1WHILE:FOR" would output what matched, but in upper case.

Escape sequences:
The following escape sequences are also allowed:

a The bell character.
f The form feed character.

The newline character.
The carriage return character.
The tab character.
v A vertical tab character.
x A hexadecimal character - for example x0D.
x{} A possible unicode hexadecimal character - for example x{1A0}
cx The ASCII escape character x, for example c@ is equivalent to escape-@.
e The ASCII escape character.
dd An octal character constant, for example 10
Examples例子
Emulating host-header-based virtual sites on a single site
例如你在两个域名注册www.site1.com 和 www.site2.com，现在你可以创建两个不同的站点而使用单一的物理站点。把以下规则加入到你的httpd.ini 文件
[ISAPI_Rewrite]

#Fix missing slash char on folders
RewriteCond Host: (.*)
RewriteRule ([^.?]+[^.?/]) http://$1$2/ [I,R]

#Emulate site1
RewriteCond Host: (?:www.)?site1.com
RewriteRule (.*) /site1$1 [I,L]

#Emulate site2
RewriteCond Host: (?:www.)?site2.com
RewriteRule (.*) /site2$1 [I,L]

现在你可以把你的站点放在/site1 和 /site2 目录中.

或者你可以应用更多的类规则：
[ISAPI_Rewrite]

#Fix missing slash char on folders
RewriteCond Host: (.*)
RewriteRule ([^.?]+[^.?/]) http://$1$2/ [I,R]

RewriteCond Host: (www.)?(.+)
RewriteRule (.*) /$2$3
为站点应该命名目录为 /somesite1.com, /somesite2.info, etc.
Using loops (Next flag) to convert request parameters
假如你希望有物理URL如 http://www.myhost.com/foo.asp?a=A&b=B&c=C 使用请求如 http://www.myhost.com/foo.asp/a/A/b/B/c/C 参数数量可以从两个请求之间变化

至少有两个解决办法。你可以简单的为每一可能的参数数量添加一个分隔规则或者你可以使用一个技术说明如下面的例子
ISAPI_Rewrite]
RewriteRule (.*?.asp)(?[^/]*)?/([^/]*)/([^/]*)(.*) $1(?2$2&:?)$3=$4$5 [NS,I]
这个规则将从请求的URL中抽取一个参数追加在请求字符的末尾并且从头重启规则进程。所以它将循环直到所有参数被移动到适当的位置，或者直到超过RepeatLimit
也存在许多这个规则的变种。但使用不同的分隔字符，例如。使用URLS如http://www.myhost.com/foo.asp~a~A~b~B~c~C 可以应中下面的规则：
ISAPI_Rewrite]
RewriteRule (.*?.asp)(?[^~]*)?~([^~]*)~([^~]*)(.*) $1(?2$2&:?)$3=$4$5 [NS,I]
Running servers behind IIS
假如我们有一个内网服务器运行IIS而几个公司服务器运行其他平台，这些服务器不能从INTERNET直接进入，而只能从我们公司的网络进入，有一个简单的例子可以使用代理标记映射其他服务器到IIS命名空间：
[ISAPI_Rewrite]
RewriteProxy /mappoint(.+) http://sitedomain$1 [I,U]
Moving sites from UNIX to IIS
这个规则可以帮助你把URL从 /~username 改变到 /username 和从 /file.html 改变到 /file.htm. 这个在你仅仅把你的站从UNIX移动到IIS并且保持搜索引擎和其他外部页面对老页面的连接时是有用的
[ISAPI_Rewrite]

#redirecting to update old links
RewriteRule (.*).html $1.htm
RewriteRule /~(.*) http://myserver/$1 [R]
Moving site location
许多网管问这样的问题：他们要重定向所有的请求到一个新的网络服务器，当你需要建立一个更新的站点取代老的的时候经常出现这样的问题，解决方案是用ISAPI_Rewrite 于老服务器中
[ISAPI_Rewrite]

#redirecting to update old links
RewriteRule (.+) http://newwebserver$1 [R]

Browser-dependent content
Dynamically generated robots.txt
robots.txt是一个搜索引擎用来发现能不能被索引的文件，但是为一个大站创建一个有许多动态内容的这个文件是很复杂的工作，我们可以写一个robots.asp script

现在使用单一规则生成 robots.txt
[ISAPI_Rewrite]

RewriteRule /robots.txt /robots.asp
Making search engines to index dynamic pages
站点的内容存储在XML文件中，在服务器上有一个/XMLProcess.asp 文件处理XML文件并返回HTML到最终用户，URLS到文档有如下形式
http://www.mysite.com/XMLProcess.asp?xml=/somdir/somedoc.xml
但是许多公共引擎不能索引此类文档，因为URLS包含问号（文档动态生成），
ISAPI_Rewrite可以完全消除这个问题
[ISAPI_Rewrite]

RewriteRule /doc(.*).htm /XMLProcess.asp?xml=$1.xml
现在使用如同http://www.mysite.com/doc/somedir/somedoc.htm的URL进入文档，搜索引擎将不知道不是somedoc.htm 文件并且内容是动态生成的
Negative expressions (NOT
有时当模式不匹配你需要应用规则，这种情况下你可以使用在规则表达式中称为Forward Lookahead Asserts
例如你需要不使用IE把所有用户移动到别的地点
[ISAPI_Rewrite]
# Redirect all non Internet Explorer users
# to another location
RewriteCond User-Agent: (?!.*MSIE).*
RewriteRule (.*) /nonie$1
Dynamic authentification
例如我们在站点上有一些成员域，我们在这个域上需要密码保护文件而我们不喜欢用BUILT-IN服务器安全，这个情况下可以建立一个ASP脚本（称为proxy.asp），这个脚本将代理所有请求到成员域并且检查请求允许，这里有一个简单的模板你可以放进你自己的授权代码

现在我们要通过配置 ISAPI_Rewrite 通过这个页面代理请求:

[ISAPI_Rewrite]
# Proxy all requests through proxy.asp
RewriteRule /members(.+) /proxy.asp?http://mysite.com/members$1
Blocking inline-images (stop hot linking

假设我们在http://www.mysite.com/下有些页面有一些内联 GIF图片很好，他人可以不直接协商通过盗链到他们的页面上，我们不喜欢这样因为加大了服务器流量
当我们不能100%保护图片，我们至少可以在浏览器发送一个HTTP Referer header的地方限制这种情况
[ISAPI_Rewrite]
RewriteCond Host: (.+)
RewriteCond Referer: (?!http://1.*).*
RewriteRule .*.(?:gif|jpg|png) /block.gif [I,O]

发表在 article | 已关闭评论

IIS的各种身份验证详细测试

发表于2011年11月6日由kaisin

1.1. 客户端选择NTLM方式... 5

1.2. 服务端返回质询码... 5

1.3. 客户端加密质询码再次发送请求... 5

1.4. 服务端验证客户端用户和密码... 5

2、 Kerberos验证过程... 6

2.1. 客户端选择Kerberos验证... 6

2.2. 服务端验证身份验证票... 6

3、客户端和服务器都不在域中... 6

3.1. 客户端用ip地址访问服务... 6

3.1.1. 客户端IE申请页面... 6

3.1.2. 服务端返回无授权回应... 6

3.1.3. 客户端选择NTLM验证，要求输入用户名密码，请求质询码... 7

3.1.4. 服务器返回质询码... 7

3.1.5. 客户端发送使用前面输入账户的密码加密后的质询码... 7

3.1.6. 服务端验证通过，返回资源... 8

3.2. 客户端用机器名访问服务器，登录用户名/口令跟服务器不匹配... 9

3.2.1. 客户端IE申请页面... 9

3.2.2. 服务端返回无授权回应... 9

3.2.3. 客户端选择NTLM验证，请求质询码... 9

3.2.4. 服务器返回质询码... 9

3.2.5. 客户端发送用登陆本机的账户加密后的质询码... 10

3.2.6. 服务端返回无授权回应... 10

3.2.7. 客户端及选选择NTLM验证，要求输入用户名和口令，再次请求质询码... 10

3.2.8. 服务端返回质询码... 11

3.2.9. 客户端发送使用前面输入账户的密码加密后的质询码... 11

3.2.10. 服务端验证通过，返回资源... 11

3.3. 客户端用机器名访问服务器，登录用户名/口令跟服务器匹配... 12

3.3.1. 客户端IE申请页面... 12

3.3.2. 服务端返回无授权回应... 12

3.3.3. 客户端选择NTLM验证，请求质询码... 12

3.3.4. 服务器返回质询码... 13

3.3.5. 客户端发送用登陆本机的账户加密后的质询码... 13

3.3.6. 服务端验证通过，返回资源... 13

4、客户端和服务器都在同一域中... 14

4.1. 客户端用机ip访问服务器... 14

4.1.1. 客户端IE申请页面... 14

4.1.2. 服务端返回无授权回应... 14

4.1.3. 客户端选择NTLM验证，要求输入用户名密码，请求质询码... 15

4.1.4. 服务器返回质询码... 15

4.1.5. 客户端发送使用前面输入账户的密码加密后的质询码... 15

4.1.6. 服务端验证通过，返回资源... 16

4.2. 客户端用机器名访问服务器，客户端用户以域账户登录... 16

4.2.1. 客户端IE申请页面... 16

4.2.2. 服务端返回无授权回应... 16

4.2.3. 客户端选择Kerberos验证，发送验证票到服务端... 17

4.2.4. 服务端验证通过，返回资源... 17

4.3. 客户端用机器名访问服务器，客户端用户以客户端本地用户登录，用户名/口令跟服务器账户不匹配 18

4.3.1. 客户端IE申请页面... 18

4.3.2. 服务端返回无授权回应... 18

4.3.3. 客户端选择NTLM验证，请求质询码... 19

4.3.4. 服务器返回质询码... 19

4.3.5. 客户端发送用登陆本机的账户加密后的质询码... 19

4.3.6. 服务端返回无授权回应... 20

4.3.7. 客户端及选选择NTLM验证，要求输入用户名和口令，再次请求质询码... 20

4.3.8. 服务端返回质询码... 20

4.3.9. 客户端发送使用前面输入账户的密码加密后的质询码... 20

4.3.10. 服务端验证通过，返回资源... 21

4.4. 客户端用机器名访问服务器，客户端用户以客户端本地用户登录，用户名/口令跟服务器账户匹配 21

4.4.1. 客户端IE申请页面... 21

4.4.2. 服务端返回无授权回应... 22

4.4.3. 客户端选择NTLM验证，请求质询码... 22

4.4.4. 服务器返回质询码... 22

4.4.5. 客户端发送用登陆本机的账户加密后的质询码... 22

4.4.6. 服务端验证通过，返回资源... 23

5、集成验证总结... 23

5.1. 客户端以ip地址访问服务器... 23

5.2. 服务器在域，客户端以域帐号登陆... 24

5.3. 其他情况IE都选择采用NTLM验证方式。... 24

四、基本身份验证.... 24

1、客户端IE申请页面... 24

2、服务端返回无授权回应，并告知客户端要求基本身份验证... 24

3、客户端弹出对话框要求输入用户名和密码... 25

4、服务端验证通过，返回资源... 25

一、 IIS的身份验证概述

IIS具有身份验证功能，可以有以下几种验证方式：

1、匿名访问

这种方式不验证访问用户的身份，客户端不需要提供任何身份验证的凭据，服务端把这样的访问作为匿名的访问，并把这样的访问用户都映射到一个服务端的账户，一般为IUSER_MACHINE这个用户，可以修改映射到的用户：

2、集成windows身份验证

这种验证方式里面也分为两种情况

2.1. NTLM验证

这种验证方式需要把用户的用户名和密码传送到服务端，服务端验证用户名和密码是否和服务器的此用户的密码一致。用户名用明码传送，但是密码经过处理后派生出一个8字节的key加密质询码后传送。

2.2. Kerberos验证

这种验证方式只把客户端访问IIS的验证票发送到IIS服务器，IIS收到这个票据就能确定客户端的身份，不需要传送用户的密码。需要kerberos验证的用户一定是域用户。

每一个登录用户在登录被验证后都会被域中的验证服务器生成一个票据授权票（TGT）作为这个用户访问其他服务所要验证票的凭证（这是为了实现一次登录就能访问域中所有需要验证的资源的所谓单点登录SSO功能），而访问IIS服务器的验证票是通过此用户的票据授权票（TGT）向IIS获取的。之后此客户访问此IIS都使用这个验证票。同样访问其他需要验证的服务也是凭这个TGT获取该服务的验证票。

下面是kerberos比较详细的原理。

Kerberos原理介绍：

工作站端运行着一个票据授权的服务，叫Kinit，专门用做工作站同认证服务器Kerberos间的身份认证的服务。

1. 用户开始登录，输入用户名，验证服务器收到用户名，在用户数据库中查找这个用户，结果发现了这个用户。

2. 验证服务器生成一个验证服务器跟这个登录用户之间共享的一个会话口令（Session key），这个口令只有验证服务器跟这个登录用户之间使用，用来做相互验证对方使用。同时验证服务器给这个登录用户生成一个票据授权票(ticket-granting ticket)，工作站以后就可以凭这个票据授权票来向验证服务器请求其他的票据，而不用再次验证自己的身份了。验证服务器把{ Session key ＋ ticket-granting ticket }用登录用户的口令加密后发回到工作站。

3. 工作站用自己的口令解密验证服务器返回的数据包，如果解密正确则验证成功。解密后能够获得登录用户与验证服务器共享的Session key和一张ticket-granting ticket。

到此，登录用户没有在网络上发送口令，通过验证服务器使用用户口令加密验证授权票的方法验证了用户，用户跟验证服务器之间建立了关系，在工作站上也保存来相应的身份证明，以后要是用网络中的其他服务，可以通过这个身份证明向验证服务器申请相应服务器的服务票，来获得相应服务身份验证。

4. 如果用户第一次访问IIS服务器，工作站的kinit查看本机上没有访问IIS服务器的验证票，于是kinit会向验证服务器发出请求，请求访问IIS服务的验证票。Kinit先要生成一个验证器，验证器是这样的：{用户名：工作站地址}用跟验证服务器间的Session key加密。Kinit将验证器、票据授权票、你的名字、你的工作站地址、IIS服务名字发送的验证服务器，验证服务器验证验证授权票真实有效，然后用跟你共享的Session key解开验证器，获取其中的用户名和地址，与发送这个请求的用户和地址比较，如果相符，说明验证通过，这个请求合法。

5. 验证服务器先生成这个用户跟IIS服务器之间的Session key会话口令，之后根据用户请求生成IIS服务器的验证票，是这个样子的：｛会话口令：用户名：用户机器地址：服务名：有效期：时间戳｝，这个验证票用IIS服务器的密码（验证服务器知道所有授权服务的密码）进行加密形成最终的验证票。最后，验证服务器{会话口令＋加好密的验证票}用用户口令加密后发送给用户。

6. 工作站收到验证服务器返回的数据包，用自己的口令解密，获得跟IIS服务器的Session key和IIS服务器的验证票。

7. 工作站kinit同样要生成一个验证器，验证器是这样的：{用户名：工作站地址}用跟IIS服务器间的Session key加密。将验证器和IIS验证票一起发送到IIS服务器。

8. IIS服务器先用自己的服务器密码解开IIS验证票，如果解密成功，说明此验证票真实有效，然后查看此验证票是否在有效期内，在有效期内，用验证票中带的会话口令去解密验证器，获得其中的用户名和工作站地址，如果跟验证票中的用户名和地址相符则说明发送此验证票的用户就是验证票的所有者，从而验证本次请求有效。

3、基本身份验证

这种验证方式完全是把用户名和明文用明文（经过base64编码，但是base64编码不是加密的，经过转换就能转换成原始的明文）传送到服务端验证。服务器直接验证服务器本地是否用用户跟客户端提供的用户名和密码相匹配的，如果有则通过验证。

二、匿名访问

服务端IIS设置了允许匿名访问后，在收到客户端的资源请求后，不需要经过身份验证，直接把请求的资源返回给客户端。

GET /iisstart.htm HTTP/1.1

Accept: */*

Accept-Language: zh-cn

UA-CPU: x86

Accept-Encoding: gzip, deflate

If-Modified-Since: Fri, 21 Feb 2003 12:15:52 GMT

If-None-Match: "0ce1f9a2d9c21:d87"

User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1.4322; InfoPath.1; .NET CLR 2.0.50727; MAXTHON 2.0)

Host: 192.168.100.5

Connection: Keep-Alive

HTTP/1.1 200 OK

Content-Length: 1193

Content-Type: text/html

Last-Modified: Fri, 21 Feb 2003 12:15:52 GMT

Accept-Ranges: bytes

ETag: "0ce1f9a2d9c21:d8b"

Server: Microsoft-IIS/6.0

MicrosoftOfficeWebServer: 5.0_Pub

X-Powered-By: ASP.NET

Date: Mon, 12 Nov 2007 07:29:40 GMT

三、 Windows集成验证

集成 Windows 身份验证可以使用 NTLM 或 Kerberos V5 身份验证，当 Internet Explorer 试图设为集成验证的IIS的资源时，IIS 发送两个 WWW 身份验证头，Negotiate 和 NTLM。

客户端IE认识Negotiate头，将选择Negotiate头，之后IE可以选择NTLM 或 Kerberos两种验证方式。

如果客户端不认识Negotiate头，只能选择NTLM头，就只能使用NTLM验证方式。

现在IE使用的版本一般都在5.0以上，所以现在可以认为IE客户端都能识别Negotiate 头。

所以本文只考虑IE接受Negotiate头，分别使用NTLM 或 Kerberos两种验证的情况。

1、 NTLM验证过程

1.1. 客户端选择NTLM方式

如果IE选择了NTLM验证，IE就会在发送到IIS的请求中加入一个Authorization: Negotiate头，内容为：

Authorization: Negotiate NTLMSSPXXXXXXXXXXXXXXXXX

蓝色部分在实际中是经过base64编码的，其中“NTLMSSP”表示是NTLM验证的请求，后面的“XXXXXXXX”部分是二进制的数据，告诉服务器，客户端现在选择了NTLM验证，请服务器发送质询码给客户端。

1.2. 服务端返回质询码

服务器在返回无授权访问的http回应的头部加入Authorization: Negotiate头，内容为：

Authorization: Negotiate NTLMSSPXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

服务器返回的“XXXXXXXX”部分中含有一个八字节的质询码。

1.3. 客户端加密质询码再次发送请求

客户端使用客户端帐号的密码派生出来的8字节DESkey使用DES算法加密收到的质询码。连同客户端帐号的用户名发送到服务端，形式还是这样：

Authorization: Negotiate NTLMSSPXXXXXXXXXXXXXXXXX

这里的“XXXXXXX”部分包含了加密后的质询码和客户端用户名，用户名在其中以明码形式存在。

1.4. 服务端验证客户端用户和密码

服务端收到用户名后，先查验本机是否有这个用户，如果没有直接返回没有授权的http回应。

如果有这个用户，就用这个用户的密码派生出来的8字节DESkey使用DES算法加密发给客户端的那个8字节的质询码，然后跟收到客户端发送来的加密后的质询码比较，如果不相同，表示客户端输入密码不正确看，返回没有授权的http回应；如果相同，就表示客户端输入这个用户的密码正确，验证通过，返回客户端请求的资源。

2、 Kerberos验证过程

2.1. 客户端选择Kerberos验证

如果客户端选择了Kerberos验证，客户端直接在请求头中加入Authorization: Negotiate头，内容为：

Authorization: Negotiate XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

其中“XXXXXXXXXX”包含了客户端登录用户的身份验证票（登录时域中的票据服务器发放的标识此登录用户身份的票据，其中不包含用户的密码）。

2.2. 服务端验证身份验证票

服务器验证用户验证票，如果有效的票据，服务端能据此获得用户的用户名，并验证用户的有效性。验证通过后，服务端返回客户端请求的资源。

但是客户端IE何时选择NTLM 、合适选择Kerberos呢？下面通过一系列的测试来找出答案。

分服务器和客户端在域不在域两种情况测试。

3、客户端和服务器都不在域中

测试环境为服务器和客户端机器在同一个局域网中，但是都不在域中。客户端IE请求服务端IIS的一个页面default.aspx。

IIS服务端设置：

l 不启用匿名访问

l 只启用集成windows身份验证

这个环境下又分为下面几种情况：

3.1. 客户端用ip地址访问服务

3.1.1. 客户端IE申请页面

客户端IE浏览器的地址栏上输入要访问的URL，就会向服务端发送一个GET请求：

GET /wstest/default.aspx HTTP/1.1

Accept: */*

Accept-Language: zh-cn

UA-CPU: x86

Accept-Encoding: gzip, deflate

User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1; MAXTHON 2.0)

Host: 192.168.1.13:81

Connection: Keep-Alive

3.1.2. 服务端返回无授权回应

服务端设置了禁用匿名访问，只允许windows验证，所以服务端返回了无授权回应：

HTTP/1.1 401 Unauthorized

返回的http头中还包括的:

WWW-Authenticate: Negotiate

WWW-Authenticate: NTLM

这两个头表示服务端只接受集成windows验证方式

HTTP/1.1 401 Unauthorized

Content-Length: 1327

Content-Type: text/html

Server: Microsoft-IIS/6.0

WWW-Authenticate: Negotiate

WWW-Authenticate: NTLM

X-Powered-By: ASP.NET

Date: Sun, 11 Nov 2007 12:28:29 GMT

3.1.3. 客户端选择NTLM验证，要求输入用户名密码，请求质询码

客户端通过Authorization: Negotiate NTLMSSPXXXX 头告诉服务器，客户端要求NTLM验证，请求服务端发送质询码。

GET /wstest/default.aspx HTTP/1.1

Accept: */*

Accept-Language: zh-cn

UA-CPU: x86

Accept-Encoding: gzip, deflate

User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1; MAXTHON 2.0)

Host: 192.168.1.13:81

Connection: Keep-Alive

Authorization: Negotiate TlRMTVNTUAABAAAAB4IIogAAAAAAAAAAAAAAAAAAAAAFAs4OAAAAD3==

3.1.4. 服务器返回质询码

服务端收到客户端的请求，发送一个八字节的质询码。

HTTP/1.1 401 Unauthorized

Content-Length: 1251

Content-Type: text/html

Server: Microsoft-IIS/6.0

WWW-Authenticate: Negotiate TlRMTVNTUAACAAAAEgASADgAAAAFgoqii7rzphzu6mEAAAAAAAAAAFwAXABKAAAABQLODgAAAA9CAEkAWgBUAEEATABLAFIAMgACABIAQgBJAFoAVABBAEwASwBSADIAAQASAEIASQBaAFQAQQBMAEsAUgAyAAQAEgBiAGkAegB0AGEAbABrAFIAMgADABIAYgBpAHoAdABhAGwAawBSADIAAAAAAA==

X-Powered-By: ASP.NET

Date: Sun, 11 Nov 2007 12:29:44 GMT

3.1.5. 客户端发送使用前面输入账户的密码加密后的质询码

客户端IE收到质询码后，使用根据一定的规则从登录用户密码派生出的8字节的key对质询码进行DES加密，加密后的质询码和用户名明码连同页面请求一起发送到服务端。

GET /wstest/default.aspx HTTP/1.1

Accept: */*

Accept-Language: zh-cn

UA-CPU: x86

Accept-Encoding: gzip, deflate

User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1; MAXTHON 2.0)

Host: 192.168.1.13:81

Connection: Keep-Alive

Authorization: Negotiate TlRMTVNTUAADAAAAGAAYAI4AAAAYABgApgAAABgAGABIAAAAGgAaAGAAAAAUABQAegAAAAAAAAC+AAAABYKIogUCzg4AAAAPMQA5ADIALgAxADYAOAAuADEALgAxADMAYQBkAG0AaQBuAGkAcwB0AHIAYQB0AG8AcgBXAEkATgAyADAAMAAzAC0AUABDAL0amMkkEMWLAAAAAAAAAAAAAAAAAAAAAFND1Boc0kthz0TBnfxn3z4W9/NILU1CtW==

3.1.6. 服务端验证通过，返回资源

服务端收到用户名和加密后的质询码后，根据用户名查找服务器上此用户的密码，按照客户端同样的方法加密质询码，然后跟收到客户端返回的质询码，如果一致，则说明用户名和密码都一致，验证通过，返回客户端IE请求资源。如果不对，再次返回无授权http回应。

HTTP/1.1 200 OK

Date: Sun, 11 Nov 2007 12:29:44 GMT

Server: Microsoft-IIS/6.0

X-Powered-By: ASP.NET

X-AspNet-Version: 2.0.50727

Cache-Control: private

Content-Type: text/html; charset=utf-8

Content-Length: 522

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">

.Untitled Page

</title></head>

<body>

<div>

</div>

<div>

This is a simple page!</div>

</form>

</body>

</html>

3.2. 客户端用机器名访问服务器，登录用户名/口令跟服务器不匹配

这种情况，客户端用服务器名访问服务器，但是客户端登录系统的用户跟服务器上的用户名和密码不匹配，也就是要么服务器上没这个用户，要么就是服务器这个用户的密码跟客户端这个用户的密码不一样。

3.2.1. 客户端IE申请页面

GET /wstest/default.aspx HTTP/1.1

Accept: */*

Accept-Language: zh-cn

UA-CPU: x86

Accept-Encoding: gzip, deflate

User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1; MAXTHON 2.0)

Host: biztalkr2:81

Connection: Keep-Alive

3.2.2. 服务端返回无授权回应

服务端不允许匿名访问，服务端返回需要集成验证的的http头。

HTTP/1.1 401 Unauthorized

Content-Length: 1327

Content-Type: text/html

Server: Microsoft-IIS/6.0

WWW-Authenticate: Negotiate

WWW-Authenticate: NTLM

X-Powered-By: ASP.NET

Date: Wed, 14 Nov 2007 12:38:36 GMT

3.2.3. 客户端选择NTLM验证，请求质询码

GET /wstest/default.aspx HTTP/1.1

Accept: */*

Accept-Language: zh-cn

UA-CPU: x86

Accept-Encoding: gzip, deflate

User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1; MAXTHON 2.0)

Host: biztalkr2:81

Connection: Keep-Alive

Authorization: Negotiate TlRMTVNTUAABAAAAB4IIogAAAAAAAAAAAAAAAAAAAAAFAs4OAAAADw==

3.2.4. 服务器返回质询码

HTTP/1.1 401 Unauthorized

Content-Length: 1251

Content-Type: text/html

Server: Microsoft-IIS/6.0

WWW-Authenticate: Negotiate TlRMTVNTUAACAAAAEgASADgAAAAFgoqikemftrQx0qUAAAAAAAAAAFwAXABKAAAABQLODgAAAA9CAEkAWgBUAEEATABLAFIAMgACABIAQgBJAFoAVABBAEwASwBSADIAAQASAEIASQBaAFQAQQBMAEsAUgAyAAQAEgBiAGkAegB0AGEAbABrAFIAMgADABIAYgBpAHoAdABhAGwAawBSADIAAAAAAA==

X-Powered-By: ASP.NET

Date: Wed, 14 Nov 2007 12:38:36 GMT

3.2.5. 客户端发送用登陆本机的账户加密后的质询码

客户端IE首先用本机登录用户的密码派生的key加密质询码，然后连同用户名一起发送到服务端验证。

GET /wstest/default.aspx HTTP/1.1

Accept: */*

Accept-Language: zh-cn

UA-CPU: x86

Accept-Encoding: gzip, deflate

User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1; MAXTHON 2.0)

Host: biztalkr2:81

Connection: Keep-Alive

Authorization: Negotiate TlRMTVNTUAADAAAAGAAYAIoAAAAYABgAogAAABQAFABIAAAAGgAaAFwAAAAUABQAdgAAAAAAAAC6AAAABYKIogUCzg4AAAAPVwBJAE4AMgAwADAAMwAtAFAAQwBBAGQAbQBpAG4AaQBzAHQAcgBhAHQAbwByAFcASQBOADIAMAAwADMALQBQAEMAwo4jxECJeUwAAAAAAAAAAAAAAAAAAAAA2/kscwhI0mmAC6W4OmsZjbrRyrS2NGUX

3.2.6. 服务端返回无授权回应

客户端本机登录的用户名和密码跟服务器端没有匹配的，所以验证在服务端没有通过，服务端返回无授权的回应。

HTTP/1.1 401 Unauthorized

Content-Length: 1251

Content-Type: text/html

Server: Microsoft-IIS/6.0

WWW-Authenticate: Negotiate

WWW-Authenticate: NTLM

X-Powered-By: ASP.NET

Date: Wed, 14 Nov 2007 12:38:36 GMT

3.2.7. 客户端及选选择NTLM验证，要求输入用户名和口令，再次请求质询码

GET /wstest/default.aspx HTTP/1.1

Accept: */*

Accept-Language: zh-cn

UA-CPU: x86

Accept-Encoding: gzip, deflate

User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1; MAXTHON 2.0)

Host: biztalkr2:81

Connection: Keep-Alive

Authorization: Negotiate TlRMTVNTUAABAAAAB4IIogAAAAAAAAAAAAAAAAAAAAAFAs4OAAAADw==

3.2.8. 服务端返回质询码

HTTP/1.1 401 Unauthorized

Content-Length: 1251

Content-Type: text/html

Server: Microsoft-IIS/6.0

WWW-Authenticate: Negotiate TlRMTVNTUAACAAAAEgASADgAAAAFgoqi3GHiM9qD6TUAAAAAAAAAAFwAXABKAAAABQLODgAAAA9CAEkAWgBUAEEATABLAFIAMgACABIAQgBJAFoAVABBAEwASwBSADIAAQASAEIASQBaAFQAQQBMAEsAUgAyAAQAEgBiAGkAegB0AGEAbABrAFIAMgADABIAYgBpAHoAdABhAGwAawBSADIAAAAAAA==

X-Powered-By: ASP.NET

Date: Wed, 14 Nov 2007 12:38:45 GMT

3.2.9. 客户端发送使用前面输入账户的密码加密后的质询码

GET /wstest/default.aspx HTTP/1.1

Accept: */*

Accept-Language: zh-cn

UA-CPU: x86

Accept-Encoding: gzip, deflate

User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1; MAXTHON 2.0)

Host: biztalkr2:81

Connection: Keep-Alive

Authorization: Negotiate TlRMTVNTUAADAAAAGAAYAIgAAAAYABgAoAAAABIAEgBIAAAAGgAaAFoAAAAUABQAdAAAAAAAAAC4AAAABYKIogUCzg4AAAAPQgBJAFoAVABBAEwASwBSADIAYQBkAG0AaQBuAGkAcwB0AHIAYQB0AG8AcgBXAEkATgAyADAAMAAzAC0AUABDAKeYMtcyzwKJAAAAAAAAAAAAAAAAAAAAAExqwTipbr+IzohNdmnopPU1B9pp7QBplA==

3.2.10. 服务端验证通过，返回资源

HTTP/1.1 200 OK

Date: Wed, 14 Nov 2007 12:38:45 GMT

Server: Microsoft-IIS/6.0

X-Powered-By: ASP.NET

X-AspNet-Version: 2.0.50727

Cache-Control: private

Content-Type: text/html; charset=utf-8

Content-Length: 522

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">

.Untitled Page

</title></head>

<body>

<div>

</div>

<div>

This is a simple page!</div>

</form>

</body>

</html>

3.3. 客户端用机器名访问服务器，登录用户名/口令跟服务器匹配

这种情况，客户端用服务器名访问服务器，而且客户端登录系统的用户正好在服务器上有个同名同密码的用户。

3.3.1. 客户端IE申请页面

GET /wstest/default.aspx HTTP/1.1

Accept: */*

Accept-Language: zh-cn

UA-CPU: x86

Accept-Encoding: gzip, deflate

User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1; MAXTHON 2.0)

Host: biztalkr2:81

Connection: Keep-Alive

3.3.2. 服务端返回无授权回应

同样，服务端不允许匿名访问，服务端返回需要集成验证的的http头。

HTTP/1.1 401 Unauthorized

Content-Length: 1327

Content-Type: text/html

Server: Microsoft-IIS/6.0

WWW-Authenticate: Negotiate

WWW-Authenticate: NTLM

X-Powered-By: ASP.NET

Date: Wed, 14 Nov 2007 12:35:41 GMT

3.3.3. 客户端选择NTLM验证，请求质询码

GET /wstest/default.aspx HTTP/1.1

Accept: */*

Accept-Language: zh-cn

UA-CPU: x86

Accept-Encoding: gzip, deflate

User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1; MAXTHON 2.0)

Host: biztalkr2:81

Connection: Keep-Alive

Authorization: Negotiate TlRMTVNTUAABAAAAB4IIogAAAAAAAAAAAAAAAAAAAAAFAs4OAAAADw==

3.3.4. 服务器返回质询码

HTTP/1.1 401 Unauthorized

Content-Length: 1251

Content-Type: text/html

Server: Microsoft-IIS/6.0

WWW-Authenticate: Negotiate TlRMTVNTUAACAAAAEgASADgAAAAFgoqiSWLtzjLMElAAAAAAAAAAAFwAXABKAAAABQLODgAAAA9CAEkAWgBUAEEATABLAFIAMgACABIAQgBJAFoAVABBAEwASwBSADIAAQASAEIASQBaAFQAQQBMAEsAUgAyAAQAEgBiAGkAegB0AGEAbABrAFIAMgADABIAYgBpAHoAdABhAGwAawBSADIAAAAAAA==

X-Powered-By: ASP.NET

Date: Wed, 14 Nov 2007 12:35:41 GMT

3.3.5. 客户端发送用登陆本机的账户加密后的质询码

GET /wstest/default.aspx HTTP/1.1

Accept: */*

Accept-Language: zh-cn

UA-CPU: x86

Accept-Encoding: gzip, deflate

User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1; MAXTHON 2.0)

Host: biztalkr2:81

Connection: Keep-Alive

Authorization: Negotiate TlRMTVNTUAADAAAAGAAYAIoAAAAYABgAogAAABQAFABIAAAAGgAaAFwAAAAUABQAdgAAAAAAAAC6AAAABYKIogUCzg4AAAAPVwBJAE4AMgAwADAAMwAtAFAAQwBBAGQAbQBpAG4AaQBzAHQAcgBhAHQAbwByAFcASQBOADIAMAAwADMALQBQAEMAg7v6JYS/3bAAAAAAAAAAAAAAAAAAAAAArE2xu3xDN3w0LmV1yUkDkrqVWhb2wg27

3.3.6. 服务端验证通过，返回资源

用户端登录的用户名和密码正好能匹配到服务端的一个用户和密码，验证通过。

HTTP/1.1 200 OK

Date: Wed, 14 Nov 2007 12:35:41 GMT

Server: Microsoft-IIS/6.0

X-Powered-By: ASP.NET

X-AspNet-Version: 2.0.50727

Cache-Control: private

Content-Type: text/html; charset=utf-8

Content-Length: 522

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">

.Untitled Page

</title></head>

<body>

<div>

</div>

<div>

This is a simple page!</div>

</form>

</body>

</html>

4、客户端和服务器都在同一域中

服务器和客户端机器在同一个局域网中，并同在一个域中。客户端IE请求服务端IIS的一个页面iisstart.htm。

IIS服务端设置：

l 不启用匿名访问

l 只启用集成windows身份验证

这样的环境下又范围以下几种情况：

4.1. 客户端用机ip访问服务器

4.1.1. 客户端IE申请页面

GET /iisstart.htm HTTP/1.1

Accept: */*

Accept-Language: zh-cn

UA-CPU: x86

Accept-Encoding: gzip, deflate

User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1.4322; InfoPath.1; .NET CLR 2.0.50727; MAXTHON 2.0)

Host: 192.168.100.5:81

Connection: Keep-Alive

4.1.2. 服务端返回无授权回应

IIS的设置不允许匿名访问，只能windows验证，所以发送401无授权回应，同时发回Negotiate和NTLM两个身份验证头让客户端选择。

HTTP/1.1 401 Unauthorized

Content-Length: 1327

Content-Type: text/html

Server: Microsoft-IIS/6.0

WWW-Authenticate: Negotiate

WWW-Authenticate: NTLM

X-Powered-By: ASP.NET

Date: Wed, 14 Nov 2007 07:23:43 GMT

4.1.3. 客户端选择NTLM验证，要求输入用户名密码，请求质询码

由于使用的是ip地址访问服务器，URL中包含有”.”字符，IE认为访问的不是企业内部服务器，所以不直接提供用户凭据给服务端，要求用户输入帐户

GET /iisstart.htm HTTP/1.1

Accept: */*

Accept-Language: zh-cn

UA-CPU: x86

Accept-Encoding: gzip, deflate

User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1.4322; InfoPath.1; .NET CLR 2.0.50727; MAXTHON 2.0)

Host: 192.168.100.5:81

Connection: Keep-Alive

Authorization: Negotiate TlRMTVNTUAABAAAAB4IIogAAAAAAAAAAAAAAAAAAAAAFAs4OAAAAD4==

4.1.4. 服务器返回质询码

HTTP/1.1 401 Unauthorized

Content-Length: 1251

Content-Type: text/html

Server: Microsoft-IIS/6.0

WWW-Authenticate: Negotiate TlRMTVNTUAACAAAACgAKADgAAAAFgomiF0CRjzLrr+cAAAAAAAAAAHwAfABCAAAABQLODgAAAA9TAFoAQgBUAEkAAgAKAFMAWgBCAFQASQABAAgATABPAEcAUwAEABgAcwB6AGIAdABpAC4AZwBvAHYALgBjAG4AAwAiAGwAbwBnAHMALgBzAHoAYgB0AGkALgBnAG8AdgAuAGMAbgAFABgAcwB6AGIAdABpAC4AZwBvAHYALgBjAG4AAAAAAA==

X-Powered-By: ASP.NET

Date: Wed, 14 Nov 2007 07:24:15 GMT

4.1.5. 客户端发送使用前面输入账户的密码加密后的质询码

GET /iisstart.htm HTTP/1.1

Accept: */*

Accept-Language: zh-cn

UA-CPU: x86

Accept-Encoding: gzip, deflate

User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1.4322; InfoPath.1; .NET CLR 2.0.50727; MAXTHON 2.0)

Host: 192.168.100.5:81

Connection: Keep-Alive

Authorization: Negotiate TlRMTVNTUAADAAAAGAAYAHYAAAAYABgAjgAAABoAGgBIAAAACgAKAGIAAAAKAAoAbAAAAAAAAACmAAAABYKIogUCzg4AAAAPMQA5ADIALgAxADYAOAAuADEAMAAwAC4ANQBqAGkAbgBqAHoASgBJAE4ASgBaALVaV8Ku0ERuAAAAAAAAAAAAAAAAAAAAAFowQcbaUXykWTrI7WJKQUA2taaV7wo5T2==

4.1.6. 服务端验证通过，返回资源

HTTP/1.1 200 OK

Content-Length: 1135

Content-Type: text/html

Last-Modified: Mon, 12 Nov 2007 09:33:27 GMT

Accept-Ranges: bytes

ETag: "d4469314f25c81:e35"

Server: Microsoft-IIS/6.0

X-Powered-By: ASP.NET

Date: Wed, 14 Nov 2007 07:24:15 GMT

<html>

<head>

</head>

This is a simple page!

</body>

</html>

4.2. 客户端用机器名访问服务器，客户端用户以域账户登录

4.2.1. 客户端IE申请页面

GET /iisstart.htm HTTP/1.1

Accept: */*

Accept-Language: zh-cn

UA-CPU: x86

Accept-Encoding: gzip, deflate

User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1.4322; InfoPath.1; .NET CLR 2.0.50727; MAXTHON 2.0)

Host: logs:81

Connection: Keep-Alive

4.2.2. 服务端返回无授权回应

HTTP/1.1 401 Unauthorized

Content-Length: 1327

Content-Type: text/html

Server: Microsoft-IIS/6.0

WWW-Authenticate: Negotiate

WWW-Authenticate: NTLM

X-Powered-By: ASP.NET

Date: Wed, 14 Nov 2007 08:27:18 GMT

4.2.3. 客户端选择Kerberos验证，发送验证票到服务端

客户端在域中，并且以域账户登录，所以客户端IE选择使用Kerberos身份验证，发送与用户的验证票到服务端。

GET /iisstart.htm HTTP/1.1

Accept: */*

Accept-Language: zh-cn

UA-CPU: x86

Accept-Encoding: gzip, deflate

User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1.4322; InfoPath.1; .NET CLR 2.0.50727; MAXTHON 2.0)

Host: logs:81

Connection: Keep-Alive

Authorization: Negotiate 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

4.2.4. 服务端验证通过，返回资源

HTTP/1.1 200 OK

Content-Length: 167

Content-Type: text/html

Last-Modified: Wed, 14 Nov 2007 08:21:24 GMT

Accept-Ranges: bytes

ETag: "bf2d54589726c81:e35"

Server: Microsoft-IIS/6.0

X-Powered-By: ASP.NET

WWW-Authenticate: Negotiate oYGgMIGdoAMKAQChCwYJKoZIgvcSAQICooGIBIGFYIGCBgkqhkiG9xIBAgICAG9zMHGgAwIBBaEDAgEPomUwY6ADAgEXolwEWrdYWb37ROEMMnP/4vTBwSe9hVe4XklXCWqFKG16d53aBUiTEem+lrFE8ycBgSln3zme63lKfSn9UHoNTlT100T86wxllsyrrMe437ElPcxI4pgcv9rNKU9aKg==

Date: Wed, 14 Nov 2007 08:27:18 GMT

<html>

<head>

</head>

This is a simple page!

</body>

</html>

4.3. 客户端用机器名访问服务器，客户端用户以客户端本地用户登录，用户名/口令跟服务器账户不匹配

4.3.1. 客户端IE申请页面

GET /iisstart.htm HTTP/1.1

Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, application/x-shockwave-flash, application/x-silverlight, */*

Accept-Language: zh-cn

UA-CPU: x86

Accept-Encoding: gzip, deflate

User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1.4322; InfoPath.1; .NET CLR 2.0.50727)

Host: logs:81

Connection: Keep-Alive

4.3.2. 服务端返回无授权回应

HTTP/1.1 401 Unauthorized

Content-Length: 1327

Content-Type: text/html

Server: Microsoft-IIS/6.0

WWW-Authenticate: Negotiate

WWW-Authenticate: NTLM

X-Powered-By: ASP.NET

Date: Wed, 14 Nov 2007 08:58:13 GMT

4.3.3. 客户端选择NTLM验证，请求质询码

GET /iisstart.htm HTTP/1.1

Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, application/x-shockwave-flash, application/x-silverlight, */*

Accept-Language: zh-cn

UA-CPU: x86

Accept-Encoding: gzip, deflate

User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1.4322; InfoPath.1; .NET CLR 2.0.50727)

Host: logs:81

Connection: Keep-Alive

Authorization: Negotiate TlRMTVNTUAABAAAAB4IIogAAAAAAAAAAAAAAAAAAAAAFAs4OAAAADw==

4.3.4. 服务器返回质询码

HTTP/1.1 401 Unauthorized

Content-Length: 1251

Content-Type: text/html

Server: Microsoft-IIS/6.0

WWW-Authenticate: Negotiate TlRMTVNTUAACAAAACgAKADgAAAAFgomibnmMcRgPlTMAAAAAAAAAAHwAfABCAAAABQLODgAAAA9TAFoAQgBUAEkAAgAKAFMAWgBCAFQASQABAAgATABPAEcAUwAEABgAcwB6AGIAdABpAC4AZwBvAHYALgBjAG4AAwAiAGwAbwBnAHMALgBzAHoAYgB0AGkALgBnAG8AdgAuAGMAbgAFABgAcwB6AGIAdABpAC4AZwBvAHYALgBjAG4AAAAAAA==

X-Powered-By: ASP.NET

Date: Wed, 14 Nov 2007 08:58:13 GMT

4.3.5. 客户端发送用登陆本机的账户加密后的质询码

GET /iisstart.htm HTTP/1.1

Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, application/x-shockwave-flash, application/x-silverlight, */*

Accept-Language: zh-cn

UA-CPU: x86

Accept-Encoding: gzip, deflate

User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1.4322; InfoPath.1; .NET CLR 2.0.50727)

Host: logs:81

Connection: Keep-Alive

Authorization: Negotiate TlRMTVNTUAADAAAAGAAYAHYAAAAYABgAjgAAAAoACgBIAAAAGgAaAFIAAAAKAAoAbAAAAAAAAACmAAAABYKIogUCzg4AAAAPSgBJAE4ASgBaAEEAZABtAGkAbgBpAHMAdAByAGEAdABvAHIASgBJAE4ASgBaACY8afODxKsFAAAAAAAAAAAAAAAAAAAAAPfRbw7FX9gKolM+6+QhqsRU+MWS3jKLkQ==

4.3.6. 服务端返回无授权回应

HTTP/1.1 401 Unauthorized

Content-Length: 1251

Content-Type: text/html

Server: Microsoft-IIS/6.0

WWW-Authenticate: Negotiate

WWW-Authenticate: NTLM

X-Powered-By: ASP.NET

Date: Wed, 14 Nov 2007 08:58:13 GMT

4.3.7. 客户端及选选择NTLM验证，要求输入用户名和口令，再次请求质询码

GET /iisstart.htm HTTP/1.1

Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, application/x-shockwave-flash, application/x-silverlight, */*

Accept-Language: zh-cn

UA-CPU: x86

Accept-Encoding: gzip, deflate

User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1.4322; InfoPath.1; .NET CLR 2.0.50727)

Host: logs:81

Connection: Keep-Alive

Authorization: Negotiate TlRMTVNTUAABAAAAB4IIogAAAAAAAAAAAAAAAAAAAAAFAs4OAAAADw==

4.3.8. 服务端返回质询码

HTTP/1.1 401 Unauthorized

Content-Length: 1251

Content-Type: text/html

Server: Microsoft-IIS/6.0

WWW-Authenticate: Negotiate TlRMTVNTUAACAAAACgAKADgAAAAFgomi3CZKUW4302QAAAAAAAAAAHwAfABCAAAABQLODgAAAA9TAFoAQgBUAEkAAgAKAFMAWgBCAFQASQABAAgATABPAEcAUwAEABgAcwB6AGIAdABpAC4AZwBvAHYALgBjAG4AAwAiAGwAbwBnAHMALgBzAHoAYgB0AGkALgBnAG8AdgAuAGMAbgAFABgAcwB6AGIAdABpAC4AZwBvAHYALgBjAG4AAAAAAA==

X-Powered-By: ASP.NET

Date: Wed, 14 Nov 2007 08:59:09 GMT

4.3.9. 客户端发送使用前面输入账户的密码加密后的质询码

GET /iisstart.htm HTTP/1.1

Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, application/x-shockwave-flash, application/x-silverlight, */*

Accept-Language: zh-cn

UA-CPU: x86

Accept-Encoding: gzip, deflate

User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1.4322; InfoPath.1; .NET CLR 2.0.50727)

Host: logs:81

Connection: Keep-Alive

Authorization: Negotiate TlRMTVNTUAADAAAAGAAYAHYAAAAYABgAjgAAAAoACgBIAAAAGgAaAFIAAAAKAAoAbAAAAAAAAACmAAAABYKIogUCzg4AAAAPSgBJAE4ASgBaAGEAZABtAGkAbgBpAHMAdAByAGEAdABvAHIASgBJAE4ASgBaAIP0UwZaV4tAAAAAAAAAAAAAAAAAAAAAAMS9l9MtVOFPSz/JmjD+/7W2ssAdBrkvwQ==

4.3.10. 服务端验证通过，返回资源

HTTP/1.1 200 OK

Content-Length: 167

Content-Type: text/html

Last-Modified: Wed, 14 Nov 2007 08:21:24 GMT

Accept-Ranges: bytes

ETag: "bf2d54589726c81:e35"

Server: Microsoft-IIS/6.0

X-Powered-By: ASP.NET

Date: Wed, 14 Nov 2007 08:59:09 GMT

<html>

<head>

</head>

This is a simple page!

</body>

</html>

4.4. 客户端用机器名访问服务器，客户端用户以客户端本地用户登录，用户名/口令跟服务器账户匹配

4.4.1. 客户端IE申请页面

GET /iisstart.htm HTTP/1.1

Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, application/x-shockwave-flash, application/x-silverlight, */*

Accept-Language: zh-cn

UA-CPU: x86

Accept-Encoding: gzip, deflate

User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1.4322; InfoPath.1; .NET CLR 2.0.50727)

Host: logs:81

Connection: Keep-Alive

4.4.2. 服务端返回无授权回应

HTTP/1.1 401 Unauthorized

Content-Length: 1327

Content-Type: text/html

Server: Microsoft-IIS/6.0

WWW-Authenticate: Negotiate

WWW-Authenticate: NTLM

X-Powered-By: ASP.NET

Date: Wed, 14 Nov 2007 09:11:09 GMT

4.4.3. 客户端选择NTLM验证，请求质询码

GET /iisstart.htm HTTP/1.1

Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, application/x-shockwave-flash, application/x-silverlight, */*

Accept-Language: zh-cn

UA-CPU: x86

Accept-Encoding: gzip, deflate

User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1.4322; InfoPath.1; .NET CLR 2.0.50727)

Host: logs:81

Connection: Keep-Alive

Authorization: Negotiate TlRMTVNTUAABAAAAB4IIogAAAAAAAAAAAAAAAAAAAAAFAs4OAAAADw==

4.4.4. 服务器返回质询码

HTTP/1.1 401 Unauthorized

Content-Length: 1251

Content-Type: text/html

Server: Microsoft-IIS/6.0

WWW-Authenticate: Negotiate TlRMTVNTUAACAAAACgAKADgAAAAFgomil8OZAC0QBhYAAAAAAAAAAHwAfABCAAAABQLODgAAAA9TAFoAQgBUAEkAAgAKAFMAWgBCAFQASQABAAgATABPAEcAUwAEABgAcwB6AGIAdABpAC4AZwBvAHYALgBjAG4AAwAiAGwAbwBnAHMALgBzAHoAYgB0AGkALgBnAG8AdgAuAGMAbgAFABgAcwB6AGIAdABpAC4AZwBvAHYALgBjAG4AAAAAAA==

X-Powered-By: ASP.NET

Date: Wed, 14 Nov 2007 09:11:09 GMT

4.4.5. 客户端发送用登陆本机的账户加密后的质询码

GET /iisstart.htm HTTP/1.1

Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, application/x-shockwave-flash, application/x-silverlight, */*

Accept-Language: zh-cn

UA-CPU: x86

Accept-Encoding: gzip, deflate

User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1.4322; InfoPath.1; .NET CLR 2.0.50727)

Host: logs:81

Connection: Keep-Alive

Authorization: Negotiate TlRMTVNTUAADAAAAGAAYAHYAAAAYABgAjgAAAAoACgBIAAAAGgAaAFIAAAAKAAoAbAAAAAAAAACmAAAABYKIogUCzg4AAAAPSgBJAE4ASgBaAEEAZABtAGkAbgBpAHMAdAByAGEAdABvAHIASgBJAE4ASgBaAMQdxp9OWMESAAAAAAAAAAAAAAAAAAAAAMEj775cWctAx2Csmbgfq2afsGcop92oMA==

4.4.6. 服务端验证通过，返回资源

用户端登录的用户名和密码正好能匹配到服务端的一个用户和密码，验证通过。

HTTP/1.1 200 OK

Content-Length: 167

Content-Type: text/html

Last-Modified: Wed, 14 Nov 2007 08:21:24 GMT

Accept-Ranges: bytes

ETag: "bf2d54589726c81:e35"

Server: Microsoft-IIS/6.0

X-Powered-By: ASP.NET

Date: Wed, 14 Nov 2007 09:11:09 GMT

<html>

<head>

</head>

This is a simple page!

</body>

</html>

5、集成验证总结

5.1. 客户端以ip地址访问服务器

不管客户端跟服务器是否在域、也不管客户端是否以域帐号登陆，只要客户端以ip地址访问服务器，那么客户端就会选择NTLM方式验证，并且不会直接发送客户端登录用户的用户名和密码给服务器，而是会弹出一个对话框要求用户输入用户名和口令，然后发送到服务端验证。

您可以避免在使用 IP 地址或名称中包含句点的企业内部网服务器上出现这种提示，方法是，在 Internet Explorer 的“本地 Intranet”设置中，列出包含 IP 地址的服务器，或是列出包含句点的服务器名称。可以通过依次单击“工具”、“Internet 选项”、“本地 Intranet”、“站点”、“高级”来访问“本地 Intranet”设置部分。然后在“将该网站添加到区域中”输入 http://127.0.0.1 或其他相关站点的 URL。

下面总结的都是在客户端以机器名访问服务器的情况。

5.2. 服务器在域，客户端以域帐号登陆

如果客户端的机器在域中，同时登陆用户又是以域用户登录，那么IE选择Kerberos验证方式。

5.3. 其他情况IE都选择采用NTLM验证方式。

出来上述的两种情况，其他情况，客户端都选择NTLM验证，并首先尝试把登录客户端用户的用户名和密码传送给服务器验证，如果验证通过了，被直接授权访问；如果验证没通过，客户端弹出对话框要求输入用户名和密码，然后再传送到服务端验证，直到验证通过。

集成 Windows 身份验证Kerberos的验证方式是 Intranet 环境中最好的身份验证方案，在这种用户拥有 Windows 域帐户，Kerberos验证不在网络上传递用户密码，只用传送一个用户验证票。NTLM要传送用户的密码，但是密码经过处理后派生出一个8字节的key加密质询码，也是比较安全的。

四、基本身份验证

客户端IE请求服务端IIS的一个页面iisstart.htm。

IIS服务端设置：

l 不启用匿名访问

l 只启用基本身份验证

1、客户端IE申请页面

GET /iisstart.htm HTTP/1.1

Accept: */*

Accept-Language: zh-cn

UA-CPU: x86

Accept-Encoding: gzip, deflate

User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1.4322; InfoPath.1; .NET CLR 2.0.50727; MAXTHON 2.0)

Host: logs:81

Connection: Keep-Alive

2、服务端返回无授权回应，并告知客户端要求基本身份验证

服务端设置的基本身份验证，所以这里返回的无授权回应的http头中包含 WWW-Authenticate: Basic 头，告诉客户端，服务端要求的是基本身份验证

HTTP/1.1 401 Unauthorized

Content-Length: 1327

Content-Type: text/html

Server: Microsoft-IIS/6.0

WWW-Authenticate: Basic realm="logs"

X-Powered-By: ASP.NET

Date: Mon, 19 Nov 2007 06:15:57 GMT

3、客户端弹出对话框要求输入用户名和密码

GET /iisstart.htm HTTP/1.1

Accept: */*

Accept-Language: zh-cn

UA-CPU: x86

Accept-Encoding: gzip, deflate

User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1.4322; InfoPath.1; .NET CLR 2.0.50727; MAXTHON 2.0)

Host: logs:81

Connection: Keep-Alive

Authorization: Basic YWRtaW5pc3RyYXRvcjpzemJ0aUAxMDA1

客户端把用户名和密码转换成base64编码后，直接发送到服务端。

发送到服务器的“Authorization: Basic”头里面的“YWRtaW5pc3RyYXRvcjpzemJ0aUAxMDA1”部分就是用户的用户名和密码，经过base64解码后是这样的：administrator:szbti@1005

4、服务端验证通过，返回资源

HTTP/1.1 200 OK

Content-Length: 167

Content-Type: text/html

Last-Modified: Wed, 14 Nov 2007 08:21:24 GMT

Accept-Ranges: bytes

ETag: "bf2d54589726c81:e7d"

Server: Microsoft-IIS/6.0

X-Powered-By: ASP.NET

Date: Mon, 19 Nov 2007 06:16:34 GMT

<html>

<head>

</head>

This is a simple page!

</body>

</html>

发表在 web server | 标签为 IIS | 已关闭评论

ASP与ADSI

发表于2011年10月31日由kaisin

Web控制Windows资源

　

如何使用浏览器透过网际网路或intranet内部网路，来存取管理Windows 2000的资源呢？

答案为使用Active Directory Service（动态目录服务，简称ADS）。

Active Directory Service，将使用者帐号、群组、服务、档案、网路上的印表机、IIS、Exchange Server等，都视为目录下的一个个体，我们可以查询，或是控制目录下的个体。

要管理Active Directory Service，微软公司所提供的程式介面（Object及函式），就是ADSI（Active Directory Service Interface）。

Windows 2000提供Active Directory Service的功能，Windows NT 4.0只要安装一个ADSI Provider（adsi.exe档案），就可以使用Active Directory Service的功能，您可以到 http://www.microsoft.com/ntserver/guide/adsi.asp 下载。

使用浏览器，透过网际网路或intranet，经由於IIS网站伺服器执行的ASP（Active Server Pages）程式，来呼叫ADSI，即可做到：

管理 使用者帐号： 譬如查询某群组的 使用者 、新建、修改、删除 使用者帐号 。

　
管理 群组： 譬如查询群组、新建、删除群组。

　
管理控制台的服务。

　
设定 档案共用 。查询网路使用共用档案的记录。

　
管理网路列印工作。

　
管理IIS。

　
管理Exchange Server。

若要使用浏览器，透过呼叫ADSI的方式来修改Windows 2000的资源，您不能使用 允许匿名存取 的方式。方法为执行 Internet服务管理员 ，於所执行ASP虚拟目录按右键并选择内容，於 目录安全设定 之 匿名存取及验证控制 中按下编辑按钮，且不勾选 允许匿名存取 。

本章范例，须於 Internet服务管理员 在虚拟目录IIS5Samp下之adsi目录按右键并选择内容，於 目录安全设定 之 匿名存取及验证控制 中按下编辑按钮，只勾选 基本验证 ，如下：

并修改adsi.asp程式中有关DOMAIN与Machine为您电脑实际的网域与电脑之名称才能正常动作，如下：

<%
DOMAIN = "WWW"
Machine = "ASP"
User = "Administrator"
%>

4-1 ADSI如何管理使用者与群组呢?

　

查询某群组的使用者

　

若要列出一般使用者（users）群组的所有使用者，ASP程式码adsi.asp如下：

<%
Set Obj1 = GetObject（"WinNT://电脑名称/users"）
Response.Write "列出 " & Obj1.Name & " 於: <B>" & Obj1.Parent & "<BR>"
For Each Member in Obj1.Members
	Response.write Member.Name & " 为 " & Member.class & "<br>"
Next
%>

Member.Name列出使用者，Member.class会得知其为群组（Group）或使用者（User）。

新建使用者帐号

　

执行 系统管理工具 的 网域使用者管理员 可以新建Windows 2000的使用者帐号，如下：

如何使用浏览器透过网际网路或intranet内部网路，来新建Windows 2000的使用者帐号呢 ? 譬如说，我们要新建一个使用者名称叫做jack的Windows 2000使用者帐号，ASP程式码adsi.asp只要七行：

<% 
Set ComputerObj = GetObject（"WinNT://电脑名称"）
Set NewUser = ComputerObj.Create（"User", "jack"）
NewUser.SetInfo 
NewUser.SetPassword（"密码"）
NewUser.FullName = "全名" 
NewUser.Description = "说明" 
NewUser.SetInfo 
%>

首先使用Create（"User"，＂使用者名称″）的方法新建一个使用者帐号，呼叫SetInfo方法即可储存变更。接着，使用SetPassword的方法设定「密码」，於FullName属性设定全名，於Description属性设定「说明」，最後再呼叫SetInfo方法储存变更，即可以新建一个使用者帐号。

修改使用者帐号

　

您可以使用浏览器，使用ASP程式码透过呼叫ADSI的方式来修改使用者帐号。

譬如说，若要修改使用者帐号的「说明」，您可使用get（"Description"）方法将「说明」设定值读出，於Description属性设定「说明」变更後再储存回去，ASP程式码adsi.asp如下：

<%  
Set Obj1 = GetObject（"WinNT://网域/电脑名称/使用者名称"）
UserDes = Obj1.get（"Description"）
Obj1.Description = UserDes & " 123" 
Obj1.SetInfo 
 
Obj1.GetInfo  
UserDes = Obj1.get（"Description"）
Response.write "New Description: " & UserDes 
%>

上例将「说明」加上「 123」变更後再储存回去。

您也可以修改使用者帐号的密码。

方法为使用ChangePassword "旧密码", "新密码"，ASP程式码adsi.asp如下：

<%
Set UserObj = GetObject（"WinNT://电脑名称/使用者名称"）
UserObj.ChangePassword "旧密码", "新密码"
%>

您也可以变更使用者帐号的相关设定，每个设定使用一个位元代表：

使用者下次登入时须变更密码： &H20000

　
使用者不得变更密码： &H0040

　
密码永久正确： &H10000

　
帐户暂时停用： &H0002

您可使用Get（"UserFlags"）方法将设定值读出，变更相对应的一个位元设定後再储存回去。

譬如说，我们变更使用者名称jack为 密码永久正确 ，ASP程式码adsi.asp如下：

<%
Set UserObj = GetObject（"WinNT://电脑名称/jack"）
Flags = UserObj.Get（"UserFlags"）
UserObj.Put "UserFlags", Flags Or &H10000
UserObj.SetInfo
%>

变更使用者名称jack为不是 使用者下次登入时须变更密码 ，ASP程式码如下：

<%
Set UserObj = GetObject（"WinNT://电脑名称/jack"）
Flags = UserObj.Get（"UserFlags"）
UserObj.Put "UserFlags", Flags And &HFDFFFF
UserObj.SetInfo
%>

删除使用者帐号

　

您可以使用浏览器，使用ASP程式码透过呼叫ADSI的方式来删除使用者帐号。

方法为使用「Delete "user", 使用者名称」方法来删除使用者帐号。譬如说，若要删除使用者帐号jack，ASP程式码adsi.asp如下：

<%
On Error Resume Next 
Set UserObj = GetObject（"WinNT://电脑名称/jack"） 
If Err = &H800401E4 Then
   Response.Write "User Not Found"
   Response.End
End If 
Set ParentObj = GetObject（UserObj.Parent） 
ParentObj.Delete "user", UserObj.Name
Set UserObj = Nothing
Response.Write "Done"
%>

查询群组

　

若要列出所有的群组，ASP程式码adsi.asp如下：

<% 
Set ComputerObj = GetObject（"WinNT://电脑名称"）
ComputerObj.Filter = Array（"Group"） 
   For Each Member in ComputerObj
      Response.Write Member.Name & ":  " & Member.Class & "<br>"
   Next
%>

其中设定Filter = Array（"Group"）以便存取群组的资讯。

Member.Name列出群组， Member.class会得知其为群组（Group）或使用者（User）。

新建群组

　

执行 系统管理工具 的 网域使用者管理员 可以新建Windows 2000的群组，如下：

如何使用浏览器透过网际网路或intranet内部网路，来新建Windows 2000的群组呢 ?

ASP程式码如下：

<% 
Set ComputerObj = GetObject（"WinNT:// 网域"）
Set GroupObj = ComputerObj.Create（"group", "新群组名称"）
GroupObj.SetInfo 
GroupObj.GroupDescription = Descript 
GroupObj.SetInfo 
%>

首先使用Create（"group", "新群组名称"）的方法新建一个群组，呼叫SetInfo方法即储存变更。接着於GroupDescription属性设定「说明」，最後再呼叫SetInfo方法储存变更，即可新建一个群组。

删除群组

　

您可以使用浏览器，使用ASP程式码透过呼叫ADSI的方式来删除群组。方法为使用「Delete "group", 群组名称」方法来删除群组。ASP程式码如下：

<%
Set ComputerObj = GetObject（"WinNT:// 电脑名称"）
GroupPath = ComputerObj.ADsPath & "/群组名称" 
Set GroupObj = GetObject（GroupPath）
Set ParentObj = GetObject（GroupObj.Parent）
ParentObj.Delete "group", GroupObj.Name
%>

4-2 ADSI如何管理服务呢?

　

管理服务

　

电脑管理 的服务可以用来管理各种Windows 2000的服务，如下：

如何使用浏览器透过网际网路或intranet内部网路，来管理各种Windows 2000的服务呢？

首先列出所有的服务，ASP程式码如下：

<% 
Set ComputerObj = GetObject（"WinNT://电脑名称"）
ComputerObj.Filter = Array（"Service"） 
   For Each Member in ComputerObj
      Response.Write Member.Name & "<br>"
   Next
%>

其中设定Filter = Array（"Service"）以便存取服务的资讯。Member.Name列出服务名称。

您可以使用浏览器，使用ASP程式码透过呼叫ADSI的方式来启动、停止、暂停、继续一个服务。使用的方法如下：

启动： ServiceObj.Start

　
停止： ServiceObj.Stop

　
暂停： ServiceObj.Pause

　
继续： ServiceObj.Pause

譬如说，若要停止Alerter服务，ASP程式码adsi.asp如下：

<% 
Set ServiceObj = GetObject（"WinNT://网域/电脑名称/Alerter"） ServiceObj.Stop %>

您可以使用浏览器，使用ASP程式码透过呼叫ADSI的方式来设定一个服务的 启动设定 。设定的StartType属性如下：

自动： ServiceObj.StartType = 2

　
手动： ServiceObj.StartType = 3

　
停用： ServiceObj.StartType = 4

譬如说，若要变更Alerter服务的启动设定为手动，ASP程式码adsi.asp如下：

<% 
Set ServiceObj = GetObject（"WinNT://网域/电脑名称/
Alerter"）
 ServiceObj.StartType = 3 %>

4-3 ADSI如何管理IIS网站呢?

　

管理IIS网站

　

您可以透过浏览器使用ASP来控制管理一个网站。譬如：启动、暂停、继续、或停止一个Web站台、FTP站台、伺服器，或建立一个新的站台、建立一个新的虚拟目录、寻找站台，以及改变站台或虚拟目录的属性设定，譬如设定存取权限、设定最大频宽限制等。

首先先定义待读取或设定的电脑、Web站台、虚拟目录、目录或档案等路径，语法如下，其中IisObj为定义的路径物件名称：

Set IIsObj = GetObject（"IIS://电脑名称/服务/站台编号/目录"）

其中路径「IIS://电脑名称/服务/站台编号/目录」，语法如下：

电脑名称： 为IIS伺服器的电脑名称，若为本机可以LocalHost代表。

　
服务： Web站台为「W3SVC」，FTP站台为「MSFTPSVC」，SMTP Service为「SMTPSVC」，NNTP为「NNTPSVC 」。

　
站台编号： 1代表第一个站台。

　
目录： 虚拟目录，Root表示根目录。

譬如：

IIS://LocalHost：表示为整个IIS伺服器。

　
IIS://LocalHost/W3SVC/1：表示「预设的Web站台」。

　
IIS://LocalHost/W3SVC/1/Root：表示「预设的Web站台」的主目录。

　
IIS://LocalHost/MSFTPSVC/1：表示为「预设的FTP站台」。

　
IIS://LocalHost/SMTPSVC/1：表示为「Default SMTP Site」。

　
IIS://LocalHost/NNTPSVC/1：表示为「Default NNTP Site」。

定义位址後即可以使用「GET」指令读取属性（properties）值，语法如下，其中IIsObj为上面所定义的位址物件名称：

xxx = IIsObj.Get（"属性名称"）

譬如「a = IIsObj.Get（"AccessRead"）」，表示读取AccessRead属性的设定值，储存到a的变数当中。

若要设定IIS，可以使用「PUT」指令设定属性（properties）值，最後再使用SetInfo方法储存到Metabase当中。语法如下，其中IIsObj为上面所定义的位址物件名称：

IIsObj.Put "属性名称", 设定值
IIsObj.SetInfo

譬如「IIsObj.Put "AccessRead", False」，表示设定AccessRead属性的设定值为False。

存取权限设定范例

　

如何透过浏览器使用ASP来设定一个虚拟目录、主目录或档案等的存取权限呢 ?

方法为使用「GET」和「PUT」指令以读取和设定属性（properties）值，或者可以使用「.」以读取和设定属性（properties）值。相关的属性，如下：

AccessRead： 读取。

　
AccessWrite： 写入。

　
AccessScript： 指令档。

　
AccessExecute： 执行。

设定值为True（-1）或False（0）。

控制Web和FTP站台

　

如何透过浏览器使用ASP来启动、暂停、继续、或停止一个Web站台、FTP站台、或伺服器呢？

为达到这个功能，您必须使用IIS Admin Objects所提供的方法（methods），如下：

Continue： 继续一个Web站台、FTP站台、或伺服器。

　
Pause ： 暂停一个Web站台、FTP站台、或伺服器。

　
Start： 启动一个Web站台、FTP站台、或伺服器。

　
Stop ： 停止一个Web站台、FTP站台、或伺服器。

首先先定义待设定的Web站台、FTP站台、或伺服器等路径，语法如下，其中IisObj为定义的路径物件名称：

Set IIsObj = GetObject（"IIS://电脑名称/服务/站台编号"）

譬如：

IIS://LocalHost：表示为整个IIS伺服器。

　
IIS://LocalHost/W3SVC/1：表示「预设的Web站台」。

　
IIS://LocalHost/MSFTPSVC/1：表示为「预设的FTP站台」。

譬如启动一个Web站台，ASP程式码adsi.asp如下：

<%
ServerNo = "1"
ComputerName = "LocalHost"
On Error Resume Next
'「 IIS://LocalHost/W3SVC/1」，表示为预设的Web站台。
fullPath = "IIS://" & ComputerName & "/W3SVC/" & ServerNo
'开启此路径。
Set objServer = GetObject（fullPath）
If Err.Number <> 0 Then
	Response.Write Now & ". 错误码: " & Hex（Err）& " - " &
 "无法开启 " & fullPath & ".<br>"
End If 
'使用Start启动（开始）站台
objServer.Start
If Err.Number <> 0 Then
	Response.Write Now & ". 错误码: " & Hex（Err）& " - " &
 "无法启动（开始）Web站台 " & fullPath & ".<br>"
else
	Response.Write "已经启动（开始）Web站台 " & fullPath & 
".<br>"
End If
%>

建立虚拟目录

　

如何透过浏览器使用ASP，来建立虚拟目录呢 ?

方法为使用「Create（"IISWebVirtualDir","虚拟目录名称"）」方法，以建立虚拟目录，并设定以下属性：

Path： 设定虚拟目录的实际物理路径。

　
EnableDirBrowsing： 设定虚拟目录是否允许浏览目录。

　
AccessRead： 设定虚拟目录是否允许读取。

发表在 article | 2条评论

通过WEB管理用户名或密码

发表于2011年10月27日由kaisin

来源： http://support.microsoft.com/kb/555071

要创建 IISADMPWD 虚拟目录, 请按照下列步骤：
在 InternetServicesManager Microsoft 管理控制台 (MMC), 展开网站，右键单击默认 Web 站点，选择新建 , 然后选择虚拟目录。
当虚拟目录创建向导启动时, 按照说明来创建与别名 IISADMPWD 虚拟目录。指向本地 %systemroot%\System32\Inetsrv\Iisadmpwd 目录路径。对于访问权限允许读取和运行脚本 privilages。

要在 IIS 元数据库, 设置 PasswordChangeFlags 值请执行下列操作：
从命令提示符浏览至 C:\Inetpub\Adminscripts 目录。
键入 adsutil.vbs, 然后按 ENTER 键。如果这是首次，已运行 Adsutil.vbs, 可能会收到错误消息指出不注册 Cscript。按照提示并选择是以注册 Cscript。
类型 adsutil.vbs 设置 w3svc/1 / PasswordChangeFlags [ value ]。

w3svc/1 代表默认 Web 站点， [ value ] 可被设置为下列选项之一：
0 - 需要 SSL 连接
1 允许非安全端口上更改密码。
2 密码更改禁用。
3 密码更改禁用。 (记录)
4 前进禁用密码过期的通知。

用户现在能够通过访问更改本地帐户密码：
http [ s ]: / / [ 服务器地址 ] /iisadmpwd/aexp2.asp
或通过访问其域帐户密码：
http [ s ]: / / [ 服务器地址 ] /iisadmpwd/aexp2b.asp
其中 " s " 存在于 SSL 连接，主机名称或唯一 IP 地址的服务器 " 服务器地址 " 它。

发表在 article | 标签为 IIS | 已关闭评论

IIRF免费开源的URL伪静态重写插件

发表于2011年10月24日由kaisin

介绍

IIRF是一款开源的重写URL过滤器，类似于Apache的URL重写，基于VC8.0（可以用Visual Studio2005或Visual C++ 2005 Express重新编译）开发。它可以运行在IIS5.0＋，支持ASP,ASP.NET,PHP等许多格式。相对比ASP.NET2.0自带的URL重写，具有更好的性能和许多我们所需要特性，重要的一点在于：它可以支持无扩展名的URL（例如：cnlbogs.com/****,你无需在创建一个默认的default.aspx文件，IIRF自动会帮你解析），让URL更加的方便我们记忆，也能进一步提高搜索的排名？IIRF能够在aspnet_isapi提前捕获我们所请求的URL进行处理，如果我们访问cnlbogs.com/a.aspx,需要获取cnlbogs.com/a.htm,步骤需要(iis-aspnet_isapi),通过IIRF，我们可以直接跳aspnet_isapi.dll,直接访问a.htm，要知道，这种方式在ASP.NET是无法实现的。

IIRF跟ASP.NET重写URL一样，它也是基于正则的方式来匹配，具有LOG记录，请求的条件判断。还是进入正题吧。

安装

IIRF安装需要我们手动操作来完成。不过。也是很方便了。

1 将IsapiRewrite4.dll, IsapiRewrite4.ini复制到c:\windows\system32\inetsrv(你也可以复制到其它适当的文件夹下面)。

IsapiRewrite4.ini是IIRF配置文件，每次该文件更改之后，IIRF会自动重新加载该文件，无需重启IIS来重新加载配置，如果您修改后INI文件后格式不正确，IIRF将会自动获取最后正确加载的配置文件。

2 打开IIS管理器,选择“默认网站”，右击“属性”，选择“ISAPI筛选器”，点击“添加”，输入筛选器名称：Ionic Rewriter，可执行文件选择上面复制到c:\windows\system32\inetsrv下面的IsapiRewrite4.dll文件，点“确定”。

3重启IISADMIN service服务。（在计算机管理----windows服务里面）

4 完成。

日志

IIRF能够将INI配置文件加载，用户的URL请求记录都会保存到指定的日志文件里。因为它具有很大的性能开销，因此建议将它日志的记录等级设为0，只有
为了方便调试的时候时候，可以设置为5，

RewriteLog <filename stub> 保存的日志路径，如 c:\temp\iirfLog.out
RewriteLogLevel {0,1,2,3,4,5} 日志的等级,默认值为0

0 –不会记录日志
1- 少许的日志
2- 比较多的日志
3- 比较详细的日志
4- 详细的日志（4），并会跟踪server variable和替换的字符串。
5- 详细的日志（5），包括日志文件更改的事件，建议方便调试的时候使用

正则

正则的语法跟.NET一样，只不过是格式不一样而已。所以我也不在详细介绍。具体有关正则的说明大家可以用GOOGLE搜索。

格式：
RewriteRule <url-pattern> <replacement-string> [<modifiers>]
url-pattern：匹配的正则表达式(必需)
replacement-string:要替换的字符串（必需）
modifiers：有关对RewriteRule的操作标记。可选选项。在下面我会说明

默认下IIRF的url-pattern，replacement-string正则的前面已经带了主机头的。

为了方便描述，直接看几个示例(以下示例基本全部来源IIRF文档)

RewriteRule ^/original/(.*).php /modified/$1.aspx

源：http://xxx/original/index.php

目标：http://xxx/modified/index.aspx

RewriteRule ^/dinoch/album/([^/]+)/([^/]+).(jpg|JPG|PNG) /chiesa/pics.aspx?d=$1&p=$2.$3

源：http://xxx/dinoch/album/30/1.jpg

目标：http://xxx/chiesa/pics.aspx?d=30&p=1.jpg

比较简单，主要还在于modifiers的功能。下面列举了它的所有值，允许组合(如[R,L])。

   R = Redirect（URL跳转到<replacement-string>地址）
   NF = Not found(返回404错误给用户，但该文件并未移除，还是保留在网站中）
   L = Last test if match(如果已经匹配，将不在继续匹配下去)
   F = Forbidden(跟NF标志相似，)
   I = Do case-insensitive matching
   U = Store original url in server Variable HTTP_X_REWRITE_URL(保存原始的url到HTTP_X_REWRITE_URL服务器变量中。)

[R] or [R=code]
就像跟我们在ASP.NET使用的Redirect方法一样，重新改变浏览器的方向，跳转到新的指定的URL中。
[R=code]允许我们指定特定的HTTP状态返回码。只能介于301到399。如果超出这个范围。默认会是使用302状态。
RewriteRule ^/goto.aspx?r=(.*)$ $1 [R]
源:http://xxx/goto.aspx?r=http://www.google.com/
目标:http://www.google.com

[L]
上面已经简单介绍过。不在说明

[NF]
上面已经简单介绍过。它还可以跟RewriteCond一起配合，来实现自定义的404错误请求。
特别要注意，你所要匹配的文件必须存在，替换的字符串不允许是存在文件名
RewriteRule ^/1008.aspx$ /1.aspx [NF]
1008.aspx文件需要存在，1.aspx不存在，否则无法正常达到我们的结果。
（很奇怪，我不知道是不是我搞错了。但我最终测试的结果确实是这样，文档也没详细说明过，有知道的朋友可以告诉我一下原因）

[F]
不在说明。

[I]
模糊匹配

[U]
保存原始的url到HTTP_X_REWRITE_URL服务器变量中。
在ASP.NET你可以用Request.ServerVariables["HTTP_X_REWRITE_URL"]获取原始值。

RewriteCond
RewriteCond <test-string> <pattern> [<modifier flag[,...]>]
类似于条件判断,并且允许多个条件，OR,AND。只有当RewriteCond的Server Variable 匹配所指定的正则表达，RewriteRule才会执行。比如：
RewriteCond %{REMOTE_ADDR} ^(127.0.0.1)$
RewriteRule ^/(.*).aspx$ /$1.aspx
如果我们访问网站的地址的IP来源于127.0.0.1,那么，允许 RewriteRule ^/(.*).aspx$ /$1.aspx

RewriteCond %{REMOTE_ADDR} ^(127.0.0.1)$ [OR]
RewriteCond %{REMOTE_ADDR} ^(192.168.0.10)$
RewriteRule ^/(.*).aspx$ /$1.aspx
添加了OR来多个条件判断

RewriteCond %{REMOTE_ADDR} ^(?!127.0.0.1)([0-9]{1,3}.[0-9]{1,3}.[0-9]{1,3}.[0-9]{1,3})(.*)$
RewriteRule ^/(?!redirected.htm)(.*)$ /redirected.htm

Modifier flags有二个值
I＝模糊匹配
OR=逻辑判断

从IIRF的RewriteCond的功能上来说，确实很灵活，不知道跟IIS7的重写怎么样，嘻嘻。还没瞧见过呢*^_&。另外。RewriteCond的[Patterns]可以带下面几个参数
-d
Treats the TestString as a pathname and tests if it exists,
and is a directory.
TestString是一个路径名称，并且存在这个路径
-f
Treats the TestString as a pathname and tests if it exists and
is a regular file.
TestString是一个路径名称，并且是一个存在的文件
-s
Treats the TestString as a pathname and tests if it exists and
is a regular file with size greater than zero.
TestString 是一个路径名称，并且存在文件超过0字节

如文档所使用的例子
(1)RewriteCond %{HTTP_URL}             (/|\.htm|\.php|\.html|/[^.]*)$   [I] )
(2)RewriteCond %{REQUEST_FILENAME}     !-f
(3)RewriteCond %{REQUEST_FILENAME}     !-d
(4)RewriteRule ^.*$                    /index.aspx                      [U,L]
(1)如果URL是以htm,php,html(模糊匹配)，
(2)URL不是存在文件
(3)URL不是请求的路径
(4)将所有请求跳转到index.aspx,保存原始的URL，之后不在对此进行匹配

在如
RewriteCond %{HTTP_USER_AGENT} ^Mozilla.*
RewriteRule ^/$ /homepage.max.html [L]

IIRF其它配置属性
IterationLimit {integer}从指定的integer后开始匹配RewriteRule组。如果超出RewriteRule个数，默认将会从第8个开始。
MaxMatchCount {integer} RewriteRule组的总个数。
RewriteLog <filename stub> 日志路径
RewriteLogLevel {0,1,2,3,4,5} 日志的等级

一个常见问题
在刚安装IIRF之后就测试一下ASP.NET下面的URL，发现还是跟以前ASP.NET重写URL有一样的问题：无法改写Form下面的action的路径，而我们这时使用Request.RawUrl获取原始的URL是为空的。也许你开始注意到了我上面写过的RewriteRule的modifiers选项[U]。我们可以通过将原始的URL保存到服务器变量中。然后通过Request.ServerVariables[name]来获取。然后重写action的值就可以了。

Public Class FormFixerHtmlTextWriter
2

Inherits System.Web.UI.HtmlTextWriter
3

Private _url As String
4

Public Sub New(ByVal writer As TextWriter)
5

MyBase.New(writer)
6

_url = ForumContext.Current.Context.Request.ServerVariables("HTTP_X_REWRITE_URL")
7

End Sub
8

Public Overloads Overrides Sub WriteAttribute(ByVal name As String, ByVal value As String, ByVal encode As Boolean)
9

If (Not _url Is Nothing And String.Compare(name, "action", True) = 0) Then
10

value = _url
11

End If
12

MyBase.WriteAttribute(name, value, encode)
13

End Sub
14

End Class

2007-09-01]
http://zhangsichu.com/blogview.asp?Content_Id=82
这里已经有人实现了二级域名的重写，大家可以去看看．感谢 tombom 提供的信息．

IIRF网站：http://cheeso.members.winisp.net/IIRF.aspx

-----------------------------------------------------------------------------------------------------------

IIRF是Ionic出品的ISAPI Rewriting Filter，专门为IIS服务的URL重写插件，完全开源，完全免费。抛弃ISAPI_Rewrite的99美元费用吧。真正可用，这下IIS下的所有的伪静态、二级域名泛解析全部搞定。

首先，到官方网站 http://iirf.codeplex.com/ 下载最新版本的 IIRF，飘易看到的最新的版本是 IonicIsapiRewriter-2.1.1.23-Release-Win32-bin.zip 。

一、安装方法：
1、把 bin 目录下的文件全部拷贝到 D:\rewrite ，目录你可以自定义。

2、如果你创建一个服务器全局范围的设置文件（IirfGlobal.ini），你必须把它与（IIRF.dll）文件在同一目录中。该URL Rewrite筛选器将寻找其在该文件中的全局设置文件。
3、对（IIRF.dll）文件赋予 IIS_WPG用户组“读取”、“读取与运行”、“写入”权限。

4、打开Internet信息服务管理器。
右键点击IIS管理器左栏“网站” 》“属性”，弹出“网站属性”选项卡，选择“ISAPI筛选器”，如下图添加IIRF。

5、重启IIS

6、右键点击IIS管理器左栏“网站” 》“属性”，弹出“网站属性”选项卡，选择“ISAPI筛选器”，查看“IIRF”加载是否成功。若是绿色向上箭头，则表示加载成功。（提示，IIS重启后，人工访问一下该网站，不然无法触发，也就加载不成功）

二、规则文件格式基本和Apache的 mod_rewrite、ISAPI Rewrite一样
IIRF是参照Apache的 mod_rewrite 模块改写而来，所以大部分规则和mod_rewrite一样。略有区别，部分区别如下：
IIRF不支持这些修饰符 [C]、[co]、[E]、[N]、[NE]、[NI]、[NS]、[PT]、[S]、[T]
支持[I]（作为[NC]的别名）

规则文件可随时修改，随时生效！

三、日志设置
在IIRF中日志值可以设置为0-5，在规则文件的开头部分有两行设置日志类型：

RewriteLog C:\Rewrite\supesite\iirfLog.out (注意要写清楚路径，各站点不同）
RewriteLogLevel 0 （0为不记录，3为一般测试，5为处理故障）

日志的代价高昂，同时不会自动删除文件，日志类型一定要设成0，除非用于检查才能修改为其他值，检查完后一定要改为0，否则日志文件把硬盘占满就麻烦了。如果日志不为0，筛选器起用后，对应文件夹会产生类似以下的文件，是文本格式的，可以用记事本查看。(via：没有ISAPI Rewrite FULL照样玩多站点URL Rewrite伪静态：Ionic’s Isapi Rewrite Filter (IIRF，伪静态URL重写筛选器)的安装与配置)

四、使用方法举例：
先在需要重写的网站根目录下创建（IIRF.ini）文件，并在文件中写入以下规则：

RewriteLogLevel 0
RewriteLog D:\iirf\logfiles\fxxsd
RewriteEngine ON
StatusInquiry ON

RewriteCond %{HTTP_HOST} ^(?!www)([^.]+)\.piaoyi\.org [NC]
RewriteRule ^/(.*)$ /type/*1.htm [U,L]

该规则实现的是任意二级域名 a.piaoyi.org 、b.piaoyi.org、123.piaoyi.org （除www外）等自动重定向到 /type/a.htm 、 /type/b.htm、 /type/123.htm 下。（飘易提醒：IIRF回调符是 *1，而 ISAPI_Rewrite里的回调符是 %1）.

更多的例子，请参考IIRF的英文帮助手册：
例子1，阻止特定IP段访问

RewriteLogLevel 1
RewriteLog c:\inetpub\iirfLogs\iirf
RewriteEngine ON
StatusInquiry ON
IterationLimit 5

# If the IP address is not in the specified range, return 404
# (NF = Not Found)
RewriteCond %{REMOTE_ADDR} ^(?!24\.132\.(\d+)\.(\d+))
RewriteRule ^/.*$ - [NF]

例子2，二级域名访问不同目录

RewriteEngine ON
RewriteLog c:\inetpub\iirfLogs\iirf
RewriteLogLevel 1
StatusInquiry ON

# +++++++++++++++++++++++++++++++++

RewriteCond %{HTTP_HOST} ^alias1\.domain\.com$ [I]
ProxyPass ^/(.*)$ http://internal-server1/$1

RewriteCond %{HTTP_HOST} ^alias2\.domain\.com$ [I]
ProxyPass ^/(.*)$ http://internal-server2/$1

RewriteCond %{HTTP_HOST} ^alias3\.domain\.com$ [I]
ProxyPass ^/(.*)$ http://internal-server3/$1

例子3，老域名301到新域名

RewriteLog c:\logs\iirf
RewriteLogLevel 1
IterationLimit 10
MaxMatchCount 10
RewriteEngine ON
StatusInquiry ON

# With a request like http://olddomain.com/Alpha.htm or http://olddomain.com/Alpha.asp (or
# if the olddomain is prefixed with www) , redirect (HTTP 301)
# the request to http://www.domain.com/Alpha.aspx

RewriteCond %{HTTP_HOST} ^(www\.)?olddomain\.com$
RedirectRule ^/(.+)\.(htm|asp)$ http://www.newdomain.com/$1.aspx [R=301]

发表在 article | 已关闭评论

使用 DTCTester 或 DTCPing 通过网络检查 MSDTC 功能

发表于2011年10月14日由kaisin

如果在两台计算机中的一台上安装了 SQL Server，则可以使用 DTCTester 实用程序检查这两台计算机之间是否支持事务处理。DTCTester 实用程序使用 ODBC 检查 SQL Server 数据库是否支持事务处理。有关 DTCTester 的详细信息，请参阅如何使用 DTCTester 工具。

如果两台计算机中都没有安装 SQL Server，则可以使用 DTCPing 检查这两台计算机之间是否支持事务处理。DTCPing 是在两台计算机中都没有安装 SQL Server 的情况下替代 DTCTester 实用程序的良好工具，使用时必须既在客户端计算机上运行，也在服务器计算机上运行。有关 DTCPing 的详细信息，请参阅如何解决 MS DTC 防火墙问题（页面可能为英文）。

建议为打开的端口 dtc

输入端口	端口的用途
打开 135	RPC EPM （终结点映射器）
打开 1433	当使用 TCP/IP 的 TDS SQL 通讯
打开 1434	SQL 2000 集成的安全性
打开 5100-5200	MSDTC [动态由 EPM 指派一个端口]

发表在 article | 已关闭评论

php.ini 中文详解

发表于2011年10月14日由kaisin

;;;;;;;;;;;;;;;;;
;; 关于php.ini ;;
;;;;;;;;;;;;;;;;;
; 这个文件必须命名为’php.ini’并放置在httpd.conf中PHPINIDir指令指定的目录中。
; 最新版本的php.ini可以在下面两个位置查看：
; http://cvs.php.net/viewvc.cgi/php-src/php.ini-recommended?view=co
; http://cvs.php.net/viewvc.cgi/php-src/php.ini-dist?view=co

;;;;;;;;;;;;
;; 语法 ;;
;;;;;;;;;;;;
; 该文件的语法非常简单。空白字符和以分号开始的行被简单地忽略。
; 章节标题(例如: [php])也被简单地忽略，即使将来它们可能有某种意义。
;
; 设置指令的格式如下：
; directive = value
; 指令名(directive)是大小写敏感的！所以”foo=bar”不同于”FOO=bar”。
; 值(value)可以是：
; 1. 用引号界定的字符串(如：”foo”)
; 2. 一个数字(整数或浮点数，如：0, 1, 34, -1, 33.55)
; 3. 一个PHP常量(如：E_ALL, M_PI)
; 4. 一个INI常量(On, Off, none)
; 5. 一个表达式(如：E_ALL & ~E_NOTICE)
;
; INI文件中的表达式仅使用：位运算符、逻辑非、圆括号：
; | 位或
; & 位与
; ~ 位非
; ! 逻辑非
;
; 布尔标志用 On 表示打开，用 Off 表示关闭。
;
; 一个空字符串可以用在等号后不写任何东西表示，或者用 none 关键字：
; foo = ; 将foo设为空字符串
; foo = none ; 将foo设为空字符串
; foo = “none” ; 将foo设为字符串’none’
;
; 如果你在指令值中使用动态扩展(PHP扩展或Zend扩展)中的常量，
; 那么你只能在加载这些动态扩展的指令行之后使用这些常量。
;;;;;;;;;;;;;;;;;;
;; httpd.conf ;;
;;;;;;;;;;;;;;;;;;
; 可以在httpd.conf中针对特定虚拟主机或目录覆盖php.ini的值，以进行更灵活的配置：
; php_admin_value name value ;设置非bool型的指令，将value设为none则清除先前的设定
; php_admin_flag name on|off ;仅用于设置bool型的指令
; [提示]因为很多指令不允许使用php_value/php_flag进行设置，因此不建议使用这两个。
;
; PHP常量(如E_ALL)仅能在php.ini中使用，在httpd.conf中必须使用相应的掩码值。
;[2008-3-2日更新]
;======================================================
;======================配置指令详解========================
;======================================================
; 以下每个指令的设定值都与 PHP-5.2.5 内建的默认值相同。
; 也就是说，如果’php.ini’不存在，或者你删掉了某些行，默认值与之相同。
;;;;;;;;;;;;;;
;; Apache ;;
;;;;;;;;;;;;;;
[Apache]
; 仅在将PHP作为Apache模块时才有效。
child_terminate = Off
; PHP脚本在请求结束后是否允许使用apache_child_terminate()函数终止子进程。
; 该指令仅在UNIX平台上将PHP安装为Apache1.3的模块时可用。其他情况下皆不存在。
engine = On
; 是否启用PHP解析引擎。
; 提示：可以在httpd.conf中基于目录或者虚拟主机来打开或者关闭PHP解析引擎。
last_modified = Off
; 是否在Last-Modified应答头中放置该PHP脚本的最后修改时间。
xbithack = Off
; 是否不管文件结尾是什么，都作为PHP可执行位组来解析。
;;;;;;;;;;;;;;;
;; PHP核心 ;;
;;;;;;;;;;;;;;;
[PHP-Core-DateTime]
; 前四个配置选项目前仅用于date_sunrise()和date_sunset()函数。
date.default_latitude = 31.7667
; 默认纬度
date.default_longitude = 35.2333
; 默认经度
date.sunrise_zenith = 90.583333
; 默认日出天顶
date.sunset_zenith = 90.583333
; 默认日落天顶
date.timezone =
; 未设定TZ环境变量时用于所有日期和时间函数的默认时区。
; 中国大陆应当使用”PRC”
; 应用时区的优先顺序为：
; 1. 用date_default_timezone_set()函数设定的时区(如果设定了的话)
; 2. TZ 环境变量(如果非空的话)
; 3. 该指令的值(如果设定了的话)
; 4. PHP自己推测(如果操作系统支持)
; 5. 如果以上都不成功，则使用 “UTC”
[PHP-Core-Assert]
assert.active = On
; 是否启用assert()断言评估
assert.bail = Off
; 是否在发生失败断言时中止脚本的执行
assert.callback =
; 发生失败断言时执行的回调函数
assert.quiet_eval = Off
; 是否使用安静评估(不显示任何错误信息，相当于error_reporting=0)。
; 若关闭则在评估断言表达式的时候使用当前的error_reporting指令值。
assert.warning = On
; 是否对每个失败断言都发出警告
[PHP-Core-SafeMode]
; 安全模式是为了解决共享服务器的安全问题而设立的。
; 但试图在PHP层解决这个问题在结构上是不合理的，
; 正确的做法应当是修改web服务器层和操作系统层。
; 因此在PHP6中废除了安全模式，并使用基于open_basedir的安全防护。
; 此部分指令在PHP6中已经全部被删除。
safe_mode = Off
; 是否启用安全模式。
; 打开时，PHP将检查当前脚本的拥有者是否和被操作的文件的拥有者相同，
; 相同则允许操作，不同则拒绝操作。
safe_mode_gid = Off
; 在安全模式下，默认在访问文件时会做UID比较检查。
; 但有些情况下严格的UID检查反而是不适合的，宽松的GID检查已经足够。
; 如果你想将其放宽到仅做GID比较，可以打开这个参数。
safe_mode_allowed_env_vars = “PHP_”
; 在安全模式下，用户仅可以更改的环境变量的前缀列表(逗号分隔)。
; 允许用户设置某些环境变量，可能会导致潜在的安全漏洞。
; 注意: 如果这一参数值为空，PHP将允许用户更改任意环境变量！
safe_mode_protected_env_vars = “LD_LIBRARY_PATH”
; 在安全模式下，用户不能更改的环境变量列表(逗号分隔)。
; 这些变量即使在safe_mode_allowed_env_vars指令设置为允许的情况下也会得到保护。
safe_mode_exec_dir = “/usr/local/php/bin”
; 在安全模式下，只有该目录下的可执行程序才允许被执行系统程序的函数执行。
; 这些函数是：system, escapeshellarg, escapeshellcmd, exec, passthru,
; proc_close, proc_get_status, proc_nice, proc_open, proc_terminate, shell_exec
safe_mode_include_dir =
; 在安全模式下，该组目录和其子目录下的文件被包含时，将跳过UID/GID检查。
; 换句话说，如果此处的值为空，任何UID/GID不符合的文件都不允许被包含。
; 这里设置的目录必须已经存在于include_path指令中或者用完整路径来包含。
; 多个目录之间用冒号(Win下为分号)隔开。
; 指定的限制实际上是一个前缀，而非一个目录名，
; 也就是说”/dir/incl”将允许访问”/dir/include”和”/dir/incls”
; 如果您希望将访问控制在一个指定的目录，那么请在结尾加上斜线。
[PHP-Core-Safe]
allow_url_fopen = On
; 是否允许打开远程文件
allow_url_include = Off
; 是否允许include/require远程文件。
disable_classes =
; 该指令接受一个用逗号分隔的类名列表，以禁用特定的类。
disable_functions =
; 该指令接受一个用逗号分隔的函数名列表，以禁用特定的函数。
enable_dl = On
; 是否允许使用dl()函数。dl()函数仅在将PHP作为apache模块安装时才有效。
; 禁用dl()函数主要是出于安全考虑，因为它可以绕过open_basedir指令的限制。
; 在安全模式下始终禁用dl()函数，而不管此处如何设置。
; PHP6中删除了该指令，相当于设为Off。
expose_php = On
; 是否暴露PHP被安装在服务器上的事实(在http头中加上其签名)。
; 它不会有安全上的直接威胁，但它使得客户端知道服务器上安装了PHP。
open_basedir =
; 将PHP允许操作的所有文件(包括文件自身)都限制在此组目录列表下。
; 当一个脚本试图打开一个指定目录树之外的文件时，将遭到拒绝。
; 所有的符号连接都会被解析，所以不可能通过符号连接来避开此限制。
; 特殊值’.'指定了存放该脚本的目录将被当做基准目录，
; 但这有些危险，因为脚本的工作目录可以轻易被chdir()改变。
; 对于共享服务器，在httpd.conf中针对不同的虚拟主机或目录灵活设置该指令将变得非常有用。
; 在Windows中用分号分隔目录，UNIX系统中用冒号分隔目录。
; 作为Apache模块时，父目录中的open_basedir路径将自动被继承。
; 指定的限制实际上是一个前缀，而非一个目录名，
; 也就是说”/dir/incl”将允许访问”/dir/include”和”/dir/incls”，
; 如果您希望将访问控制在一个指定的目录，那么请在结尾加上一个斜线。
; 默认是允许打开所有文件。
sql.safe_mode = Off
; 是否使用SQL安全模式。
; 如果打开，指定默认值的数据库连接函数将会使用这些默认值代替支持的参数。
; 对于每个不同数据库的连接函数，其默认值请参考相应的手册页面。
[PHP-Core-Error]
error_reporting = E_ALL & ~E_NOTICE
; E_ALL & ~E_NOTICE 的意思是“Show all errors except for notices”，也就是提示除NOTICE之外的任何错误
; 错误报告级别是位字段的叠加，推荐使用 E_ALL | E_STRICT
; 1 E_ERROR 致命的运行时错误
; 2 E_WARNING 运行时警告(非致命性错误)
; 4 E_PARSE 编译时解析错误
; 8 E_NOTICE 运行时提醒(经常是bug，也可能是有意的)
; 16 E_CORE_ERROR PHP启动时初始化过程中的致命错误
; 32 E_CORE_WARNING PHP启动时初始化过程中的警告(非致命性错)
; 64 E_COMPILE_ERROR 编译时致命性错
; 128 E_COMPILE_WARNING 编译时警告(非致命性错)
; 256 E_USER_ERROR 用户自定义的致命错误
; 512 E_USER_WARNING 用户自定义的警告(非致命性错误)
; 1024 E_USER_NOTICE 用户自定义的提醒(经常是bug，也可能是有意的)
; 2048 E_STRICT 编码标准化警告(建议如何修改以向前兼容)
; 4096 E_RECOVERABLE_ERROR 接近致命的运行时错误，若未被捕获则视同E_ERROR
; 6143 E_ALL 除E_STRICT外的所有错误(PHP6中为8191,即包含所有)
; 也可以用2147483647(所有二进制位全为1)打开现在或将来可能出现的各种错误
track_errors = Off
; 是否在变量$php_errormsg中保存最近一个错误或警告消息。
display_errors = On
; 是否将错误信息作为输出的一部分显示。
; 在最终发布的web站点上，强烈建议你关掉这个特性，并使用错误日志代替(参看下面)。
; 在最终发布的web站点打开这个特性可能暴露一些安全信息，
; 例如你的web服务上的文件路径、数据库规划或别的信息。
display_startup_errors = Off
; 是否显示PHP启动时的错误。
; 即使display_errors指令被打开，关闭此参数也将不显示PHP启动时的错误。
; 建议你关掉这个特性，除非你必须要用于调试中。
report_memleaks = On
; 是否报告内存泄漏。这个参数只在以调试方式编译的PHP中起作用，
; 并且必须在error_reporting指令中包含 E_WARNING
report_zend_debug = On
; 尚无说明文档
html_errors = On
; 是否在出错信息中使用HTML标记。
; 注意: 不要在发布的站点上使用这个特性！
docref_root = ;”http://localhost/phpmanual/”
docref_ext = ;”.html”
; 如果打开了html_errors指令，PHP将会在出错信息上显示超连接，
; 直接链接到一个说明这个错误或者导致这个错误的函数的页面。
; 你可以从http://www.php.net/docs.php下载php手册，
; 并将docref_root指令指向你本地的手册所在的URL目录。
; 你还必须设置docref_ext指令来指定文件的扩展名(必须含有’.')。
; 注意: 不要在发布的站点上使用这个特性。
error_prepend_string = ;”“
; 用于错误信息前输出的字符串
error_append_string = ;”“
; 用于错误信息后输出的字符串
xmlrpc_errors = Off
xmlrpc_error_number = 0
; 尚无文档
[PHP-Core-Logging]
define_syslog_variables = Off
; 是否定义各种系统日志变量，如：$LOG_PID, $LOG_CRON 等等。
; 关掉它以提高效率的好主意。
; 你可以在运行时调用define_syslog_variables()函数来定义这些变量。
error_log =
; 将错误日志记录到哪个文件中。该文件必须对Web服务器用户可写。
; syslog 表示记录到系统日志中(NT下的事件日志, Unix下的syslog(3))
; 如果此处未设置任何值，则错误将被记录到Web服务器的错误日志中。
log_errors = Off
; 是否在日志文件里记录错误，具体在哪里记录取决于error_log指令。
; 强烈建议你在最终发布的web站点时使用日志记录错误而不是直接输出，
; 这样可以让你既知道那里出了问题，又不会暴露敏感信息。
log_errors_max_len = 1024
; 设置错误日志中附加的与错误信息相关联的错误源的最大长度。
; 这里设置的值对显示的和记录的错误以及$php_errormsg都有效。
; 设为 0 可以允许无限长度。
ignore_repeated_errors = Off
; 记录错误日志时是否忽略重复的错误信息。
; 错误信息必须出现在同一文件的同一行才被被视为重复。
ignore_repeated_source = Off
; 是否在忽略重复的错误信息时忽略重复的错误源。
[PHP-Core-Mail]
; 要使邮件函数可用，PHP必须在编译时能够访问sendmail程序。
; 如果使用其它的邮件程序，如qmail或postfix，确保使用了相应的sendmail包装。
; PHP首先会在系统的PATH环境变量中搜索sendmail，接着按以下顺序搜索：
; /usr/bin:/usr/sbin:/usr/etc:/etc:/usr/ucblib:/usr/lib
; 强烈建议在PATH中能够找到sendmail。
; 另外，编译PHP的用户必须能够访问sendmail程序。
SMTP = “localhost”
; mail()函数中用来发送邮件的SMTP服务器的主机名称或者IP地址。仅用于win32。
smtp_port = 25
; SMTP服务器的端口号。仅用于win32。
sendmail_from =
; 发送邮件时使用的”From:”头中的邮件地址。仅用于win32
; 该选项还同时设置了”Return-Path:”头。
sendmail_path = “-t -i”
; 仅用于unix，也可支持参数(默认的是’sendmail -t -i’)
; sendmail程序的路径，通常为”/usr/sbin/sendmail或/usr/lib/sendmail”。
; configure脚本会尝试找到该程序并设定为默认值，但是如果失败的话，可以在这里设定。
; 不使用sendmail的系统应将此指令设定为sendmail替代程序(如果有的话)。
; 例如，Qmail用户通常可以设为”/var/qmail/bin/sendmail”或”/var/qmail/bin/qmail-inject”。
; qmail-inject 不需要任何选项就能正确处理邮件。
mail.force_extra_parameters =
; 作为额外的参数传递给sendmail库的强制指定的参数附加值。
; 这些参数总是会替换掉mail()的第5个参数，即使在安全模式下也是如此。
[PHP-Core-ResourceLimit]
default_socket_timeout = 60
; 默认socket超时(秒)
max_execution_time = 30
; 每个脚本最大允许执行时间(秒)，0 表示没有限制。
; 这个参数有助于阻止劣质脚本无休止的占用服务器资源。
; 该指令仅影响脚本本身的运行时间，任何其它花费在脚本运行之外的时间，
; 如用system()/sleep()函数的使用、数据库查询、文件上传等，都不包括在内。
; 在安全模式下，你不能用ini_set()在运行时改变这个设置。
memory_limit = 128M
; 一个脚本所能够申请到的最大内存字节数(可以使用K和M作为单位)。
; 这有助于防止劣质脚本消耗完服务器上的所有内存。
; 要能够使用该指令必须在编译时使用”–enable-memory-limit”配置选项。
; 如果要取消内存限制，则必须将其设为 -1 。
; 设置了该指令后，memory_get_usage()函数将变为可用。
max_input_time = -1
; 每个脚本解析输入数据(POST, GET, upload)的最大允许时间(秒)。
; -1 表示不限制。
max_input_nesting_level = 64
; 输入变量的最大嵌套深度(尚无更多解释文档)
post_max_size = 8M
; 允许的POST数据最大字节长度。此设定也影响到文件上传。
; 如果POST数据超出限制，那么$_POST和$_FILES将会为空。
; 要上传大文件，该值必须大于upload_max_filesize指令的值。
; 如果启用了内存限制，那么该值应当小于memory_limit指令的值。
realpath_cache_size = 16K
; 指定PHP使用的realpath(规范化的绝对路径名)缓冲区大小。
; 在PHP打开大量文件的系统上应当增大该值以提高性能。
realpath_cache_ttl = 120
; realpath缓冲区中信息的有效期(秒)。
; 对文件很少变动的系统，可以增大该值以提高性能。
[PHP-Core-FileUpLoad]
file_uploads = On
; 是否允许HTTP文件上传。
; 参见upload_max_filesize, upload_tmp_dir, post_max_size指令
upload_max_filesize = 2M
; 允许上传的文件的最大尺寸。
upload_tmp_dir =
; 文件上传时存放文件的临时目录(必须是PHP进程用户可写的目录)。
; 如果未指定则PHP使用系统默认的临时目录。
[PHP-Core-MagicQuotes]
; PHP6删除了下列指令，相当于全部为 Off
magic_quotes_gpc = Off
; 是否对输入的GET/POST/Cookie数据使用自动字符串转义( ‘ ” \ NULL )。
; 这里的设置将自动影响 $_GEST $_POST $_COOKIE 数组的值。
; 若将本指令与magic_quotes_sybase指令同时打开，则仅将单引号(‘)转义为(”)，
; 其它特殊字符将不被转义，即( ” \ NULL )将保持原样！！
; 建议关闭此特性，并使用自定义的过滤函数。
magic_quotes_runtime = Off
; 是否对运行时从外部资源产生的数据使用自动字符串转义( ‘ ” \ NULL )。
; 若打开本指令，则大多数函数从外部资源(数据库,文本文件等)返回数据都将被转义。
; 例如：用SQL查询得到的数据，用exec()函数得到的数据，等等
; 若将本指令与magic_quotes_sybase指令同时打开，则仅将单引号(‘)转义为(”)，
; 其它特殊字符将不被转义，即( ” \ NULL )将保持原样！！
; 建议关闭此特性，并视具体情况使用自定义的过滤函数。
magic_quotes_sybase = Off
; 是否采用Sybase形式的自动字符串转义(用 ” 表示 ‘)
[PHP-Core-HighLight]
highlight.bg = “#FFFFFF”
highlight.comment = “#FF8000″
highlight.default = “#0000BB”
highlight.html = “#000000″
highlight.keyword = “#007700″
highlight.string = “#DD0000″
; 语法高亮模式的色彩(通常用于显示 .phps 文件)。
; 只要能被接受的东西就能正常工作。
[PHP-Core-Langue]
short_open_tag = On
; 是否允许使用”“短标识。否则必须使用”“长标识。
; 除非你的php程序仅在受控环境下运行，且只供自己使用，否则请不要使用短标记。
; 如果要和XML结合使用PHP，可以选择关闭此选项以方便直接嵌入”“，
; 不然你必须用PHP来输出：
; 本指令也会影响到缩写形式” asp_tags = Off
; 是否允许ASP风格的标记”<% %>”，这也会影响到缩写形式”<%=”。
; PHP6中将删除此指令
arg_separator.output = “&”
; PHP所产生的URL中用来分隔参数的分隔符。
; 另外还可以用”&”或”,”等等。
arg_separator.input = “&”
; PHP解析URL中的变量时使用的分隔符列表。
; 字符串中的每一个字符都会被当作分割符。
; 另外还可以用”,&”等等。
allow_call_time_pass_reference = On
; 是否强迫在函数调用时按引用传递参数(每次使用此特性都会收到一条警告)。
; php反对这种做法，并在PHP6里删除了该指令(相当于设为Off)，因为它影响到了代码的整洁。
; 鼓励的方法是在函数声明里明确指定哪些参数按引用传递。
; 我们鼓励你关闭这一选项，以保证你的脚本在将来版本的语言里仍能正常工作。
auto_globals_jit = On
; 是否仅在使用到$_SERVER和$_ENV变量时才创建(而不是在脚本一启动时就自动创建)。
; 如果并未在脚本中使用这两个数组，打开该指令将会获得性能上的提升。
; 要想该指令生效，必须关闭register_globals和register_long_arrays指令。
auto_prepend_file =
auto_append_file =
; 指定在主文件之前/后自动解析的文件名。为空表示禁用该特性。
; 该文件就像调用了include()函数被包含进来一样，因此会使用include_path指令的值。
; 注意：如果脚本通过exit()终止，那么自动后缀将不会发生。
variables_order = “EGPCS”
; PHP注册 Environment, GET, POST, Cookie, Server 变量的顺序。
; 分别用 E, G, P, C, S 表示，按从左到右注册，新值覆盖旧值。
; 举例说，设为”GP”将会导致用POST变量覆盖同名的GET变量，
; 并完全忽略 Environment, Cookie, Server 变量。
; 推荐使用”GPC”或”GPCS”，并使用getenv()函数访问环境变量。
register_globals = Off
; 是否将 E, G, P, C, S 变量注册为全局变量。
; 打开该指令可能会导致严重的安全问题，除非你的脚本经过非常仔细的检查。
; 推荐使用预定义的超全局变量：$_ENV, $_GET, $_POST, $_COOKIE, $_SERVER
; 该指令受variables_order指令的影响。
; PHP6中已经删除此指令。
register_argc_argv = On
; 是否声明$argv和$argc全局变量(包含用GET方法的信息)。
; 建议不要使用这两个变量，并关掉该指令以提高性能。
register_long_arrays = On
; 是否启用旧式的长式数组(HTTP_*_VARS)。
; 鼓励使用短式的预定义超全局数组，并关闭该特性以获得更好的性能。
; PHP6中已经删除此指令。
always_populate_raw_post_data = Off
; 是否总是生成$HTTP_RAW_POST_DATA变量(原始POST数据)。
; 否则，此变量仅在遇到不能识别的MIME类型的数据时才产生。
; 不过，访问原始POST数据的更好方法是 php://input 。
; $HTTP_RAW_POST_DATA对于enctype=”multipart/form-data”的表单数据不可用。
unserialize_callback_func =
; 如果解序列化处理器需要实例化一个未定义的类，
; 这里指定的回调函数将以该未定义类的名字作为参数被unserialize()调用，
; 以免得到不完整的”__PHP_Incomplete_Class”对象。
; 如果这里没有指定函数，或指定的函数不包含(或实现)那个未定义的类，将会显示警告信息。
; 所以仅在确实需要实现这样的回调函数时才设置该指令。
; 若要禁止这个特性，只需置空即可。
y2k_compliance = On
; 是否强制打开2000年适应(可能在非Y2K适应的浏览器中导致问题)。
zend.ze1_compatibility_mode = Off
; 是否使用兼容Zend引擎I(PHP 4.x)的模式。PHP6中将删除该指令(相当于Off)。
; 这将影响对象的复制、构造(无属性的对象会产生FALSE或0)、比较。
; 兼容模式下，对象将按值传递，而不是默认的按引用传递。
precision = 14
; 浮点型数据显示的有效位数。
serialize_precision = 100
; 将浮点型和双精度型数据序列化存储时的精度(有效位数)。
; 默认值能够确保浮点型数据被解序列化程序解码时不会丢失数据。
[PHP-Core-OutputControl]
; 输出控制函数很有用，特别是在已经输出了信息之后再发送HTTP头的情况下。
; 输出控制函数不会作用于header()或setcookie()等函数发送的HTTP头，
; 而只会影响类似于echo()函数输出的信息和嵌入在PHP代码之间的信息。
implicit_flush = Off
; 是否要求PHP输出层在每个输出块之后自动刷新数据。
; 这等效于在每个 print()、echo()、HTML块之后自动调用flush()函数。
; 打开这个选项对程序执行的性能有严重的影响，通常只推荐在调试时使用。
; 在CLI SAPI的执行模式下，该指令默认为 On 。
output_buffering = 0
; 输出缓冲区大小(字节)。建议值为4096~8192。
; 输出缓冲允许你甚至在输出正文内容之后再发送HTTP头(包括cookies)。
; 其代价是输出层减慢一点点速度。
; 设置输出缓冲可以减少写入，有时还能减少网络数据包的发送。
; 这个参数的实际收益很大程度上取决于你使用的是什么Web服务器以及什么样的脚本。
output_handler =
; 将所有脚本的输出重定向到一个输出处理函数。
; 比如，重定向到mb_output_handler()函数时，字符编码将被透明地转换为指定的编码。
; 一旦你在这里指定了输出处理程序，输出缓冲将被自动打开(output_buffering=4096)。
; 注意0: 此处仅能使用PHP内置的函数，自定义函数应在脚本中使用ob_start()指定。
; 注意1: 可移植脚本不能依赖该指令，而应使用ob_start()函数明确指定输出处理函数。
; 使用这个指令可能会导致某些你不熟悉的脚本出错。
; 注意2: 你不能同时使用”mb_output_handler”和”ob_iconv_handler”两个输出处理函数。
; 你也不能同时使用”ob_gzhandler”输出处理函数和zlib.output_compression指令。
; 注意3: 如果使用zlib.output_handler指令开启zlib输出压缩，该指令必须为空。
[PHP-Core-Directory]
include_path = “.:/path/to/php/pear”
; 指定一组目录用于require(), include(), fopen_with_path()函数寻找文件。
; 格式和系统的PATH环境变量类似(UNIX下用冒号分隔，Windows下用分号分隔)：
; UNIX: “/path1:/path2″
; Windows: “\path1;\path2″
; 在包含路径中使用’.'可以允许相对路径，它代表当前目录。
user_dir =
; 告诉php在使用 /~username 打开脚本时到哪个目录下去找，仅在非空时有效。
; 也就是在用户目录之下使用PHP文件的基本目录名，例如：”public_html”
extension_dir = “/path/to/php”
; 存放扩展库(模块)的目录，也就是PHP用来寻找动态扩展模块的目录。
; Windows下默认为”C:/php5″
[PHP-Core-HTTP]
default_mimetype = “text/html”
default_charset = ;”gb2312″
; PHP默认会自动输出”Content-Type: text/html” HTTP头。
; 如果将default_charset指令设为”gb2312″，
; 那么将会自动输出”Content-Type: text/html; charset=gb2312″。
; PHP6反对使用default_charset指令，而推荐使用unicode.output_encoding指令。
[PHP-Core-Unicode]
; PHP6基于ICU(International Components for Unicode)库提供了全面的Unicode支持。
; 编译时需要使用–with-icu-dir=

指定ICU头文件和库的安装位置。
; 除detect_unicode外，其他都是PHP6新增的指令。
;
; PHP6的信息目前还很缺乏，所以此部分内容可能不完整甚至有错误。
detect_unicode = On
; 指示Zend引擎是否通过检查脚本的BOM(字节顺序标记)来检测脚本是否包含多字节字符。
; 建议关闭。PHP6已经取消了此指令而用unicode.script_encoding指令来代替其功能。
unicode.semantics = Off
; 是否启用Unicode支持。
; 如果打开此指令，那么PHP将变成一个完全的Unicode环境，比如：
; 所有字符串和从HTTP接受的变量都将变成Unicode，所有PHP标识符也都可以使用Unicode字符。
; 而且，PHP内部将使用Unicode字符串并负责对外围非Unicode字符进行自动转换，
; 比如：HTTP输入输出、流、文件系统操作等等，甚至连php.ini自身都将按照UTF-8编码来解析。
; 开启这个指令后，你必须明确指定二进制字符串。PHP将不对二进制字符串的内容做任何假定，
; 因此你的程序必须保证能够恰当的处理二进制字符串。
; 如果关闭这个指令，PHP的行为将和以前的行为完全相同：
; 字符串不会变成Unicode，文件和二进制字符串也将向后兼容，php.ini也将按照”as-is”风格解析。
; 不管是否打开此指令，所有的函数和操作符都透明的支持Unicode字符串。
unicode.fallback_encoding = UTF-8
; 为其他所有unicode.*_encoding指令设置默认值。
; 也就是说如果某个unicode.*_encoding指令未明确设置的话，将使用此处设置的值。
unicode.runtime_encoding =
; 运行时编码指定了PHP引擎内部转换二进制字符串时使用的编码。
; 此处的设置对于I/O相关操作(比如：写入标准输出/读取文件系统/解码HTTP输入变量)没有影响。
; PHP也允许你明确的对字符串进行转换：
; (binary)$str — 转化为二进制字符串
; (unicode)$str — 转化为Unicode字符串
; (string)$str — 如果unicode.semantics为On则转化为Unicode字符串，否则转化为二进制字符串
; 例如，如果该指令的值为iso-8859-1并且$uni是一个Unicode字符串，那么
; $str = (binary)$uni
; 将等到一个使用iso-8859-1编码的二进制字符串。
; 在连接、比较、传递参数等操作之前PHP会将相关字符串隐含转换为Unicode，然后再进行操作。
; 比如在将二进制字符串与Unicode进行连接的时候，
; PHP将会使用这里的设置将二进制字符串转换为Unicode字符串，然后再进行操作。
unicode.output_encoding =
; PHP输出非二进制字符串使用的编码。
; 自动将’print’和’echo’之类的输出内容转换为此处设定的编码(并不对二进制字符串进行转换)。
; 当向文件之类的外部资源写入数据的时候，
; 你必须依赖于流编码特性或者使用Unicode扩展的函数手动的对数据进行编码。
; 在PHP6中反对使用先前的default_charset指令，而推荐使用该指令。
; 先前的default_charset指令只是指定了Content-Type头中的字符集，而并不对实际的输出做任何转换。
; 而在PHP6中，default_charset指令仅在unicode.semantics为off的时候才有效。
; 设置了该指令后将在Content-Type输出头的’charset’部分填上该指令的值，
; 而不管default_charset指令如何设置。
unicode.http_input_encoding =
; 通过HTTP获取的变量(比如$_GET和_$POST)内容的编码。
; 直到2007年4月此功能尚在开发中….
unicode.filesystem_encoding =
; 文件系统的目录名和文件名的编码。
; 文件系统相关的函数(比如opendir())将使用这个编码接受和返回文件名和目录名。
; 此处的设置必须与文件系统实际使用的编码完全一致。
unicode.script_encoding =
; PHP脚本自身的默认编码。
; 你可以使用任何ICU支持的编码来写PHP脚本。
; 如果你想针对单独的脚本文件设定其编码，可以在该脚本的开头使用
;
; 来指定。注意：必须是第一行开头，全面不要有任何字符(包括空白)。
; 该方法只能影响其所在的脚本，不会影响任何被包含的其他脚本。
unicode.stream_encoding= UTF-8
unicode.from_error_mode = 2
unicode.from_error_subst_char = 3f
; 尚无文档
[PHP-Core-Misc]
auto_detect_line_endings = Off
; 是否让PHP自动侦测行结束符(EOL)。
; 如果的你脚本必须处理Macintosh文件，
; 或者你运行在Macintosh上，同时又要处理unix或win32文件，
; 打开这个指令可以让PHP自动侦测EOL，以便fgets()和file()函数可以正常工作。
; 但同时也会导致在Unix系统下使用回车符(CR)作为项目分隔符的人遭遇不兼容行为。
; 另外，在检测第一行的EOL习惯时会有很小的性能损失。
browscap = ;”c:/windows/system32/inetsrv/browscap.ini”
; 只有PWS和IIS需要这个设置
; 你可以从http://www.garykeith.com/browsers/downloads.asp
; 得到一个browscap.ini文件。
ignore_user_abort = Off
; 是否即使在用户中止请求后也坚持完成整个请求。
; 在执行一个长请求的时候应当考虑打开该它，
; 因为长请求可能会导致用户中途中止或浏览器超时。
user_agent = ;”PHP”
; 定义”User-Agent”字符串
;url_rewriter.tags = “a=href,area=href,frame=src,form=,fieldset=”
; 虽然此指令属于PHP核心部分，但是却用于Session模块的配置
;extension =
; 在PHP启动时加载动态扩展。例如：extension=mysqli.so
; “=”之后只能使用模块文件的名字，而不能含有路径信息。
; 路径信息应当只由extension_dir指令提供。
; 主意，在windows上，下列扩展已经内置：
; bcmath ; calendar ; com_dotnet ; ctype ; session ; filter ; ftp ; hash
; iconv ; json ; odbc ; pcre ; Reflection ; date ; libxml ; standard
; tokenizer ; zlib ; SimpleXML ; dom ; SPL ; wddx ; xml ; xmlreader ; xmlwriter
[PHP-Core-CGI]
; 这些指令只有在将PHP运行在CGI模式下的时候才有效
doc_root =
; PHP的”CGI根目录”。仅在非空时有效。
; 在web服务器的主文档目录(比如”htdocs”)中放置可执行程序/脚本被认为是不安全的，
; 比如因为配置错误而将脚本作为普通的html显示。
; 因此很多系统管理员都会在主文档目录之外专门设置一个只能通过CGI来访问的目录，
; 该目录中的内容只会被解析而不会原样显示出来。
; 如果设置了该项，那么PHP就只会解释doc_root目录下的文件，
; 并确保目录外的脚本都不会被PHP解释器执行(user_dir除外)。
; 如果编译PHP时没有指定FORCE_REDIRECT，并且在非IIS服务器上以CGI方式运行，
; 则必须设置此指令(参见手册中的安全部分)。
; 替代方案是使用的cgi.force_redirect指令。
cgi.discard_path = Off
; 尚无文档(PHP6新增指令)
cgi.fix_pathinfo = On
; 是否为CGI提供真正的 PATH_INFO/PATH_TRANSLATED 支持(遵守cgi规范)。
; 先前的行为是将PATH_TRANSLATED设为SCRIPT_FILENAME，而不管PATH_INFO是什么。
; 打开此选项将使PHP修正其路径以遵守CGI规范，否则仍将使用旧式的不合规范的行为。
; 鼓励你打开此指令，并修正脚本以使用 SCRIPT_FILENAME 代替 PATH_TRANSLATED 。
; 有关PATH_INFO的更多信息请参见cgi规范。
cgi.force_redirect = On
; 是否打开cgi强制重定向。强烈建议打开它以为CGI方式运行的php提供安全保护。
; 你若自己关闭了它，请自己负责后果。
; 注意：在IIS/OmniHTTPD/Xitami上则必须关闭它！
cgi.redirect_status_env =
; 如果cgi.force_redirect=On，并且在Apache与Netscape之外的服务器下运行PHP，
; 可能需要设定一个cgi重定向环境变量名，PHP将去寻找它来知道是否可以继续执行下去。
; 设置这个变量会导致安全漏洞，请务必在设置前搞清楚自己在做什么。
cgi.rfc2616_headers = 0
; 指定PHP在发送HTTP响应代码时使用何种报头。
; 0 表示发送一个”Status: “报头，Apache和其它web服务器都支持。
; 若设为1，则PHP使用RFC2616标准的头。
; 除非你知道自己在做什么，否则保持其默认值 0
cgi.nph = Off
; 在CGI模式下是否强制对所有请求都发送”Status: 200″状态码。
cgi.check_shebang_line =On
; CGI PHP是否检查脚本顶部以 #! 开始的行。
; 如果脚本想要既能够单独运行又能够在PHP CGI模式下运行，那么这个起始行就是必须的。
; 如果打开该指令，那么CGI模式的PHP将跳过这一行。
fastcgi.impersonate = Off
; IIS中的FastCGI支持模仿客户端安全令牌的能力。
; 这使得IIS能够定义运行时所基于的请求的安全上下文。
; Apache中的mod_fastcgi不支持此特性(03/17/2002)
; 如果在IIS中运行则设为On，默认为Off。
fastcgi.logging = On
; 是否记录通过FastCGI进行的连接。
[PHP-Core-Weirdy]
; 这些选项仅存在于文档中，却不存在于phpinfo()函数的输出中
async_send = Off
; 是否异步发送。
from = ;”john@doe.com”
; 定义匿名ftp的密码(一个email地址)
;;;;;;;;;;;;;;;;;;
;; 近核心模块 ;;
;;;;;;;;;;;;;;;;;;
[Pcre]
;Perl兼容正则表达式模块
pcre.backtrack_limit = 100000
; PCRE的最大回溯(backtracking)步数。
pcre.recursion_limit = 100000
; PCRE的最大递归(recursion)深度。
; 如果你将该值设的非常高，将可能耗尽进程的栈空间，导致PHP崩溃。
[Session]
; 除非使用session_register()或$_SESSION注册了一个变量。
; 否则不管是否使用了session_start()，都不会自动添加任何session记录。
; 包括resource变量或有循环引用的对象包含指向自身的引用的对象，不能保存在会话中。
; register_globals指令会影响到会话变量的存储和恢复。
session.save_handler = “files”
; 存储和检索与会话关联的数据的处理器名字。默认为文件(“files”)。
; 如果想要使用自定义的处理器(如基于数据库的处理器)，可用”user”。
; 设为”memcache”则可以使用memcache作为会话处理器(需要指定”–enable-memcache-session”编译选项)。
; 还有一个使用PostgreSQL的处理器：http://sourceforge.net/projects/phpform-ext/
session.save_path = “/tmp”
; 传递给存储处理器的参数。对于files处理器，此值是创建会话数据文件的路径。
; Windows下默认为临时文件夹路径。
; 你可以使用”N;[MODE;]/path”这样模式定义该路径(N是一个整数)。
; N表示使用N层深度的子目录，而不是将所有数据文件都保存在一个目录下。
; [MODE;]可选，必须使用8进制数，默认”600″，表示文件的访问权限。
; 这是一个提高大量会话性能的好主意。
; 注意0: “N;[MODE;]/path”两边的双引号不能省略。
; 注意1: [MODE;]并不会改写进程的umask。
; 注意2: php不会自动创建这些文件夹结构。请使用ext/session目录下的mod_files.sh脚本创建。
; 注意3: 如果该文件夹可以被不安全的用户访问(比如默认的”/tmp”)，那么将会带来安全漏洞。
; 注意4: 当N>0时自动垃圾回收将会失效，具体参见下面有关垃圾搜集的部分。
; [安全提示]建议针对每个不同的虚拟主机分别设置各自不同的目录。
;
; 对于”memcache”处理器，需要定义一个逗号分隔的服务器URL用来存储会话数据。
; 比如：”tcp://host1:11211, tcp://host2:11211″
; 每个URL都可以包含传递给那个服务器的参数，可用的参数与 Memcache::addServer() 方法相同。
; 例如：”tcp://host1:11211?persistent=1&weight=1&timeout=1&retry_interval=15″
session.name = “PHPSESSID”
;用在cookie里的会话ID标识名，只能包含字母和数字。
session.auto_start = Off
; 在客户访问任何页面时都自动初始化会话，默认禁止。
; 因为类定义必须在会话启动之前被载入，所以若打开这个选项，你就不能在会话中存放对象。
session.serialize_handler = “php”
; 用来序列化/解序列化数据的处理器，php是标准序列化/解序列化处理器。
; 另外还可以使用”php_binary”。当启用了WDDX支持以后，将只能使用”wddx”。
session.gc_probability = 1
session.gc_divisor = 100
; 定义在每次初始化会话时，启动垃圾回收程序的概率。
; 这个收集概率计算公式如下：session.gc_probability/session.gc_divisor
; 对会话页面访问越频繁，概率就应当越小。建议值为1/1000~5000。
session.gc_maxlifetime = 1440
; 超过此参数所指的秒数后，保存的数据将被视为’垃圾’并由垃圾回收程序清理。
; 判断标准是最后访问数据的时间(对于FAT文件系统是最后刷新数据的时间)。
; 如果多个脚本共享同一个session.save_path目录但session.gc_maxlifetime不同，
; 那么将以所有session.gc_maxlifetime指令中的最小值为准。
; 如果使用多层子目录来存储数据文件，垃圾回收程序不会自动启动。
; 你必须使用一个你自己编写的shell脚本、cron项或者其他办法来执行垃圾搜集。
; 比如，下面的脚本相当于设置了”session.gc_maxlifetime=1440″ (24分钟)：
; cd /path/to/sessions; find -cmin +24 | xargs rm
session.referer_check =
; 如果请求头中的”Referer”字段不包含此处指定的字符串则会话ID将被视为无效。
; 注意：如果请求头中根本不存在”Referer”字段的话，会话ID将仍将被视为有效。
; 默认为空，即不做检查(全部视为有效)。
session.entropy_file = ;”/dev/urandom”
; 附加的用于创建会话ID的外部高熵值资源(文件)，
; 例如UNIX系统上的”/dev/random”或”/dev/urandom”
session.entropy_length = 0
; 从高熵值资源中读取的字节数(建议值：16)。
session.use_cookies = On
; 是否使用cookie在客户端保存会话ID
session.use_only_cookies = Off
; 是否仅仅使用cookie在客户端保存会话ID。PHP6的默认值为On。
; 打开这个选项可以避免使用URL传递会话带来的安全问题。
; 但是禁用Cookie的客户端将使会话无法工作。
session.cookie_lifetime = 0
; 传递会话ID的Cookie有效期(秒)，0 表示仅在浏览器打开期间有效。
; [提示]如果你不能保证服务器时间和客户端时间严格一致请不要改变此默认值！
session.cookie_path = “/”
; 传递会话ID的Cookie作用路径。
session.cookie_domain =
; 传递会话ID的Cookie作用域。
; 默认为空表示表示根据cookie规范生成的主机名。
session.cookie_secure = Off
; 是否仅仅通过安全连接(https)发送cookie。
session.cookie_httponly = Off
; 是否在cookie中添加httpOnly标志(仅允许HTTP协议访问)，
; 这将导致客户端脚本(JavaScript等)无法访问该cookie。
; 打开该指令可以有效预防通过XSS攻击劫持会话ID。
session.cache_limiter = “nocache”
; 设为{nocache|private|public}以指定会话页面的缓存控制模式，
; 或者设为空以阻止在http应答头中发送禁用缓存的命令。
session.cache_expire = 180
; 指定会话页面在客户端cache中的有效期限(分钟)
; session.cache_limiter=nocache时，此处设置无效。
session.use_trans_sid = Off
; 是否使用明码在URL中显示SID(会话ID)。
; 默认是禁止的，因为它会给你的用户带来安全危险：
; 1- 用户可能将包含有效sid的URL通过email/irc/QQ/MSN…途径告诉给其他人。
; 2- 包含有效sid的URL可能会被保存在公用电脑上。
; 3- 用户可能保存带有固定不变sid的URL在他们的收藏夹或者浏览历史纪录里面。
; 基于URL的会话管理总是比基于Cookie的会话管理有更多的风险，所以应当禁用。
session.bug_compat_42 = On
session.bug_compat_warn = On
; PHP4.2之前的版本有一个未注明的”BUG”：
; 即使在register_globals=Off的情况下也允许初始化全局session变量，
; 如果你在PHP4.3之后的版本中使用这个特性，会显示一条警告。
; 建议关闭该”BUG”并显示警告。PHP6删除了这两个指令，相当于全部设为Off。
session.hash_function = 0
; 生成SID的散列算法。SHA-1的安全性更高一些
; 0: MD5 (128 bits)
; 1: SHA-1 (160 bits)
; 建议使用SHA-1。
session.hash_bits_per_character = 4
; 指定在SID字符串中的每个字符内保存多少bit，
; 这些二进制数是hash函数的运算结果。
; 4: 0-9, a-f
; 5: 0-9, a-v
; 6: 0-9, a-z, A-Z, “-”, “,”
; 建议值为 5
url_rewriter.tags = “a=href,area=href,frame=src,form=,fieldset=”
; 此指令属于PHP核心部分，并不属于Session模块。
; 指定重写哪些HTML标签来包含SID(仅当session.use_trans_sid=On时有效)
; form和fieldset比较特殊：
; 如果你包含他们，URL重写器将添加一个隐藏的”
“，它包含了本应当额外追加到URL上的信息。
; 如果要符合XHTML标准，请去掉form项并在表单字段前后加上

标记。
; 注意：所有合法的项都需要一个等号(即使后面没有值)。
; 推荐值为”a=href,area=href,frame=src,input=src,form=fakeentry”。
session.encode_sources = “globals”
; PHP6中有争议的指令，尚未决定是否采用该指令。也尚无相关文档。
;;;;;;;;;;;;;;;;
;; 其他模块 ;;
;;;;;;;;;;;;;;;;
[APC-3.0.16]
; Alternative PHP Cache 用于缓存和优化PHP中间代码
; 编译/安装/配置信息都位于源码树下的 INSTALL 文件中
apc.enabled = On
; 是否启用APC，如果APC被静态编译进PHP又想禁用它，这是唯一的办法。
apc.enable_cli = Off
; 是否为CLI版本启用APC功能，仅用于测试和调试目的才打开此指令。
apc.cache_by_default = On
; 是否默认对所有文件启用缓冲。
; 若设为Off并与以加号开头的apc.filters指令一起用，则文件仅在匹配过滤器时才被缓存。
apc.file_update_protection = 2
; 当你在一个运行中的服务器上修改文件时，你应当执行原子操作。
; 也就是先写进一个临时文件，然后将该文件重命名(mv)到最终的名字。
; 文本编辑器以及 cp, tar 等程序却并不是这样操作的，从而导致有可能缓冲了残缺的文件。
; 默认值 2 表示在访问文件时如果发现修改时间距离访问时间小于 2 秒则不做缓冲。
; 那个不幸的访问者可能得到残缺的内容，但是这种坏影响却不会通过缓存扩大化。
; 如果你能确保所有的更新操作都是原子操作，那么可以用 0 关闭此特性。
; 如果你的系统由于大量的IO操作导致更新缓慢，你就需要增大此值。
apc.filters =
; 一个以逗号分隔的POSIX扩展正则表达式列表。
; 如果源文件名与任意一个模式匹配，则该文件不被缓存。
; 注意，用来匹配的文件名是传递给include/require的文件名，而不是绝对路径。
; 如果正则表达式的第一个字符是”+”则意味着任何匹配表达式的文件会被缓存，
; 如果第一个字符是”-”则任何匹配项都不会被缓存。”-”是默认值，可以省略掉。
apc.ttl = 0
; 缓存条目在缓冲区中允许逗留的秒数。0 表示永不超时。建议值为7200~86400。
; 设为 0 意味着缓冲区有可能被旧的缓存条目填满，从而导致无法缓存新条目。
apc.user_ttl = 0
; 类似于apc.ttl，只是针对每个用户而言，建议值为7200~86400。
; 设为 0 意味着缓冲区有可能被旧的缓存条目填满，从而导致无法缓存新条目。
apc.gc_ttl = 3600
; 缓存条目在垃圾回收表中能够存在的秒数。
; 此值提供了一个安全措施，即使一个服务器进程在执行缓存的源文件时崩溃，
; 而且该源文件已经被修改，为旧版本分配的内存也不会被回收，直到达到此TTL值为止。
; 设为零将禁用此特性。
apc.include_once_override = Off
; 优化include_once()和require_once()函数以避免执行额外的系统调用。
apc.max_file_size = 1M
; 禁止大于此尺寸的文件被缓存。
apc.mmap_file_mask =
; 如果使用–enable-mmap(默认启用)为APC编译了MMAP支持，
; 这里的值就是传递给mmap模块的mktemp风格的文件掩码(建议值为”/tmp/apc.XXXXXX”)。
; 该掩码用于决定内存映射区域是否要被file-backed或者shared memory backed。
; 对于直接的file-backed内存映射，要设置成”/tmp/apc.XXXXXX”的样子(恰好6个X)。
; 要使用POSIX风格的shm_open/mmap就需要设置成”/apc.shm.XXXXXX”的样子。
; 你还可以设为”/dev/zero”来为匿名映射的内存使用内核的”/dev/zero”接口。
; 不定义此指令则表示强制使用匿名映射。
apc.num_files_hint = 1000
; Web服务器上可能被包含或被请求的不同脚本源代码文件的大致数量(建议值为1024~4096)。
; 如果你不能确定，则设为 0 ；此设定主要用于拥有数千个源文件的站点。
apc.optimization = 0
; 优化级别(建议值为 0 ) 。反对使用该指令。将来可能会被删除。
; 正整数值表示启用优化器，值越高则使用越激进的优化。
; 更高的值可能有非常有限的速度提升，但目前尚在试验中。
apc.report_autofilter = Off
; 是否记录所有由于early/late binding原因而自动未被缓存的脚本。
apc.shm_segments = 1
; 为编译器缓冲区分配的共享内存块数量(建议值为1)。
; 如果APC耗尽了共享内存，并且已将apc.shm_size指令设为系统允许的最大值，可以尝试增大此值。
; 在mmap模式下设置为 1 之外的其它值是无效的，因为经过mmap的共享内存段的大小是没有限制的。
apc.shm_size = 30
; 每个共享内存块的大小(以MB为单位，建议值为128~256)。
; 有些系统(包括大多数BSD变种)默认的共享内存块尺寸很小。
apc.slam_defense = 0
; 在非常繁忙的服务器上，无论是启动服务还是修改文件，
; 都可能由于多个进程企图同时缓存一个文件而导致竞争条件。
; 这个指令用于设置进程在处理未被缓存的文件时跳过缓存步骤的百分率。
; 比如设为75表示在遇到未被缓存的文件时有75%的概率不进行缓存，从而减少碰撞几率。
; 反对使用该指令，鼓励设为 0 来禁用这个特性。建议该用apc.write_lock指令。
apc.stat = On
; 是否启用脚本更新检查。
; 改变这个指令值要非常小心。
; 默认值 On 表示APC在每次请求脚本时都检查脚本是否被更新，
; 如果被更新则自动重新编译和缓存编译后的内容。但这样做对性能有不利影响。
; 如果设为 Off 则表示不进行检查，从而使性能得到大幅提高。
; 但是为了使更新的内容生效，你必须重启Web服务器。
; 这个指令对于include/require的文件同样有效。但是需要注意的是，
; 如果你使用的是相对路径，APC就必须在每一次include/require时都进行检查以定位文件。
; 而使用绝对路径则可以跳过检查，所以鼓励你使用绝对路径进行include/require操作。
apc.user_entries_hint = 4096
; 类似于num_files_hint指令，只是针对每个不同用户而言。
; 如果你不能确定，则设为 0 。
apc.write_lock = On
; 是否启用写入锁。
; 在非常繁忙的服务器上，无论是启动服务还是修改文件，
; 都可能由于多个进程企图同时缓存一个文件而导致竞争条件。
; 启用该指令可以避免竞争条件的出现。
apc.rfc1867 = Off
; 打开该指令后，对于每个恰好在file字段之前含有APC_UPLOAD_PROGRESS字段的上传文件，
; APC都将自动创建一个upload_的用户缓存条目(就是APC_UPLOAD_PROGRESS字段值)。
; 需要注意的是，文件上传跟踪在这里并不是线程安全的，
; 所以如果老文件尚未上载完毕且新文件已经开始上载，那么将丢失对老文件的跟踪。
apc.rfc1867_prefix = “upload_”
; 用于rfc1867上传文件的缓冲项条目名称前缀
apc.rfc1867_name = “APC_UPLOAD_PROGRESS”
; 需要由APC处理的上传文件的rfc1867隐含表单项名称
apc.rfc1867_freq = 0
; 用户rfc1867上传文件缓存项的更新频率。
; 取值可以是总文件大小的百分比，或者以’K',’M',’G'结尾的绝对尺寸。
; 0 表示尽可能快的更新，不过这样可能会导致运行速度下降。
apc.localcache = Off
; 是否使用非锁定本地进程shadow-cache ，它可以减少了向缓冲区写入时锁之间的竞争。
apc.localcache.size = 512
; 本地进程的shadow-cache，应当设为一个足够大的值，大约相当于num_files_hint的一半。
apc.stat_ctime = Off
; 尚无文档
[bcmath]
; 为任意精度数学计算提供了二进制计算器(Binary Calculator)，
; 它支持任意大小和精度的数字，以字符串形式描述。
bcmath.scale = 0
; 用于所有bcmath函数的10十进制数的个数
[GD]
gd.jpeg_ignore_warning = Off
; 是否忽略jpeg解码器的警告信息(比如无法识别图片格式)。
; 有image/jpeg与image/pjpeg两种MIME类型，GD库只能识别前一种传统格式。
; 参见：http://twpug.net/modules/newbb/viewtopic.php?topic_id=1867&forum=14
; http://bugs.php.net/bug.php?id=29878
; http://www.faqs.org/faqs/jpeg-faq/part1/section-11.html
[Filter]
; 对来源不可靠的数据进行确认和过滤，本扩展模块是实验性的。
filter.default = “unsafe_raw”
; 使用指定的过滤器过滤$_GET,$_POST,$_COOKIE,$_REQUEST数据，
; 原始数据可以通过input_get()函数访问。
; “unsafe_raw”表示不做任何过滤。
filter.default_flags =
; filter_data()函数的默认标志。
[mbstring]
;多字节字符串模块支持
mbstring.language = “neutral”
; 默认的NLS(本地语言设置)，可设置值如下：
; 默认值”neutral”表示中立，相当于未知。
; “zh-cn”或”Simplified Chinese”表示简体中文
; “zh-tw”或”Traditional Chinese”表示繁体中文
; “uni”或”universal”表示Unicode
; 该指令自动定义了随后的mbstring.internal_encoding指令默认值，
; 并且mbstring.internal_encoding指令必须放置在该指令之后。
mbstring.internal_encoding =
; 本指令必须放置在mbstring.language指令之后。
; 默认的内部编码，未设置时取决于mbstring.language指令的值：
; “neutral” 对应 “ISO-8859-1″
; “zh-cn” 对应 “EUC-CN” (等价于”GB2312″)
; “zh-tw” 对应 “EUC-TW” (等价于”BIG5″)
; “uni” 对应 “UTF-8″
; 提醒：对于简体中文还可以强制设置为”CP936″ (等价于”GBK”)
; 注意：可能 SJIS, BIG5, GBK 不适合作为内部编码，不过”GB2312″肯定没问题。
; 建议手动强制指定
mbstring.encoding_translation = Off
; 是否对进入的HTTP请求按照mbstring.internal_encoding指令进行透明的编码转换，
; 也就是自动检测输入字符的编码并将其透明的转化为内部编码。
; 可移植的库或者程序千万不要依赖于自动编码转换。
mbstring.http_input = “pass”
; 默认的HTTP输入编码，”pass”表示跳过(不做转换)
; “aotu”的含义与mbstring.detect_order指令中的解释一样。
; 可以设置为一个单独的值，也可以设置为一个逗号分隔的列表。
mbstring.http_output = “pass”
; 默认的HTTP输出编码，”pass”表示跳过(不做转换)
; “aotu”的含义与mbstring.detect_order指令中的解释一样。
; 可以设置为一个单独的值，也可以设置为一个逗号分隔的列表。
; 必须将output_handler指令设置为”mb_output_handler”才可以。
mbstring.detect_order =
; 默认的编码检测顺序，”pass”表示跳过(不做转换)。
; 默认值(“auto”)随mbstring.language指令的不同而变化：
; “neutral”和”universal” 对应 “ASCII, UTF-8″
; “Simplified Chinese” 对应 “ASCII, UTF-8, EUC-CN, CP936″
; “Traditional Chinese” 对应 “ASCII, UTF-8, EUC-TW, BIG-5″
; 建议在可控环境下手动强制指定一个单一值
mbstring.func_overload = 0
; 自动使用 mb_* 函数重载相应的单字节字符串函数。
; 比如：mail(), ereg() 将被自动替换为mb_send_mail(), mb_ereg()
; 可用 0,1,2,4 进行位组合。比如7表示替换所有。具体替换说明如下：
; 0: 无替换
; 1: mail() → mb_send_mail()
; 2: strlen() → mb_strlen() ; substr() → mb_substr()
; strpos() → mb_strpos() ; strrpos() → mb_strrpos()
; strtolower() → mb_strtolower() ; strtoupper() → mb_strtoupper()
; substr_count() → mb_substr_count()
; 4: ereg() → mb_ereg() ; eregi() → mb_eregi()
; ereg_replace() → mb_ereg_replace() ; eregi_replace() → mb_eregi_replace()
; split() → mb_split()
mbstring.script_encoding =
; 脚本所使用的编码
mbstring.strict_detection = Off
; 是否使用严谨的编码检测
mbstring.substitute_character =
; 当某个字符无法解码时，就是用这个字符替代。
; 若设为一个整数则表示对应的Unicode值，不设置任何值表示不显示这个错误字符。
; 建议设为”□”
[Mcrypt]
; 一个mcrypt库的接口，该库支持许多种块加密算法。
; 不建议使用该模块，因为毛病太多，建议在数据库层进行加密。
mcrypt.algorithms_dir =
; 默认的加密算法模块所在目录。通常是”/usr/local/lib/libmcrypt”。
; 目前尚无详细说明文档，此处的解释可能是错误的。
mcrypt.modes_dir =
; 默认的加密模式模块所在目录。通常是”/usr/local/lib/libmcrypt”。
; 目前尚无说明文档，此处的解释可能是错误的。
[Memcache-2.2.2]
; 一个高性能的分布式的内存对象缓存系统，通过在内存里维护一个统一的巨大的hash表，
; 它能够用来存储各种格式的数据，包括图像、视频、文件以及数据库检索的结果等。
memcache.allow_failover = On
; 是否在遇到错误时透明地向其他服务器进行故障转移。
memcache.chunk_size = 8192
; 数据将按照此值设定的块大小进行转移。此值越小所需的额外网络传输越多。
; 如果发现无法解释的速度降低，可以尝试将此值增加到32768。
memcache.default_port = 11211
; 连接到memcached服务器时使用的默认TCP端口。
memcache.max_failover_attempts = 20
; 接受和发送数据时最多尝试多少个服务器，进在打开memcache.allow_failover时有效。
memcache.hash_strategy = “standard”
; 控制将key映射到server的策略。默认值”standard”表示使用先前版本的老hash策略。
; 设为”consistent”可以允许在连接池中添加/删除服务器时不必重新计算key与server之间的映射关系。
memcache.hash_function = “crc32″
; 控制将key映射到server的散列函数。默认值”crc32″使用CRC32算法，而”fnv”则表示使用FNV-1a算法。
; FNV-1a比CRC32速度稍低，但是散列效果更好。
[Zlib]
; 该模块允许PHP透明的读取和写入gzip(.gz)压缩文件。
zlib.output_compression = Off
; 是否使用zlib库透明地压缩脚本输出结果。
; 该指令的值可以设置为：Off、On、字节数(压缩缓冲区大小，默认为4096)。
; 如果打开该指令，当浏览器发送”Accept-Encoding: gzip(deflate)”头时，
; “Content-Encoding: gzip(deflate)”和”Vary: Accept-Encoding”头将加入到应答头当中。
; 你可以在应答头输出之前用ini_set()函数在脚本中启用或禁止这个特性。
; 如果输出一个”Content-Type: image/??”这样的应答头，压缩将不会启用(为了防止Netscape的bug)。
; 你可以在输出”Content-Type: image/??”之后使用”ini_set(‘zlib.output_compression’, ‘On’)”重新打开这个特性。
; 注意1: 压缩率会受压缩缓冲区大小的影响，如果你想得到更好的压缩质量，请指定一个较大的压缩缓冲区。
; 注意2: 如果启用了zlib输出压缩，output_handler指令必须为空，同时必须设置zlib.output_handler指令的值。
zlib.output_compression_level = -1
; 压缩级别，可用值为 0~9 ，0表示不压缩。值越高效果越好，但CPU占用越多，建议值为1~5。
; 默认值 -1 表示使用zlib内部的默认值(6)。
zlib.output_handler =
; 在打开zlib.output_compression指令的情况下，你只能在这里指定输出处理器。
; 可以使用的处理器有”zlib.inflate”(解压)或”zlib.deflate”(压缩)。
; 如果启用该指令则必须将output_handler指令设为空。
[dbx]
; 一个数据库抽象层，为不同数据库提供了统一的接口。目前支持：
; FrontBase,SQL Server,MySQL,ODBC,PostgreSQL,Sybase-CT,Oracle 8,SQLite
dbx.colnames_case = “unchanged”
; 字段名可以按照”unchanged”或”uppercase”,”lowercase”方式返回。
[MySQLi]
; MySQLi模块只能与4.1.3以上版本的MySQL一起工作。
mysqli.max_links = -1
; 每个进程中允许的最大连接数(持久和非持久)。-1 代表无限制
mysqli.default_port = 3306
; mysqli_connect()连接到MySQL数据库时使用的默认TCP端口。
; 如果没有在这里指定默认值，将按如下顺序寻找：
; (1)$MYSQL_TCP_PORT环境变量
; (2)/etc/services文件中的mysql-tcp项(unix)
; (3)编译时指定的MYSQL_PORT常量
; 注意：Win32下，只使用MYSQL_PORT常量。
mysqli.default_socket =
; mysqli_connect()连接到本机MySQL服务器时所使用的默认套接字名。
; 若未指定则使用内置的MqSQL默认值。
mysqli.default_host =
; mysqli_connect()连接到MySQL数据库时使用的默认主机。安全模式下无效。
mysqli.default_user =
; mysqli_connect()连接到MySQL数据库时使用的默认用户名。安全模式下无效。
mysqli.default_pw =
; mysqli_connect()连接到MySQL数据库时使用的默认密码。安全模式下无效。
; 在配置文件中保存密码是个坏主意，任何使用PHP权限的用户都可以运行
; ‘echo cfg_get_var(“mysql.default_password”)’来显示密码!
; 而且任何对该配置文件有读权限的用户也能看到密码。
mysqli.reconnect = Off
; 是否允许重新连接
[PostgresSQL]
;PostgresSQL模块建议与8.0以上版本一起工作。
pgsql.allow_persistent = On
; 是否允许持久连接
pgsql.max_persistent = -1
; 每个进程中允许的最大持久连接数。-1 代表无限制。
pgsql.max_links = -1
; 每个进程中允许的最大连接数(持久和非持久)。-1 代表无限制。
pgsql.auto_reset_persistent = Off
; 自动复位在pg_pconnect()上中断了的持久连接，检测需要一些额外开销。
pgsql.ignore_notice = Off
; 是否忽略PostgreSQL后端的提醒消息。
; 记录后端的提醒消息需要一些很小的额外开销。
pgsql.log_notice = Off
; 是否在日志中记录PostgreSQL后端的提醒消息。
; 仅在pgsql.ignore_notice=Off时，才可以记录。

发表在 article | 标签为 php | 已关闭评论

visual studio quick key

发表于2011年9月7日由kaisin

快捷键

◆F7：在设计视图和代码视图之间切换。

◆F9：切换断点。

◆F12：转到变量、对象或函数定义。

◆Ctrl+Shift+7和Ctrl+Shift+8：在“转到定义”堆栈中快速向前和向后导航。

◆Shift+F12：查找某个函数或变量的所有引用。

◆Ctrl+M、Ctrl+M：在编辑器中展开和折叠代码段结构。

◆Ctrl+K、Ctrl+C和Ctrl+K、Ctrl+U：分别用于为代码行添加注释和取消注释。

◆Shift+Alt+Enter：在全屏模式和正常模式之间切换。

◆Ctrl+I：渐进式搜索。

发表在 article | 已关闭评论

Zend Studio 8 汉化

发表于2011年8月26日由kaisin

完成Zend Studio 8安装后，

1、打开Zend Studio 8，找到菜单栏中的Help菜单，点击后选择install new software会弹出install窗口，然后点击Add按钮.
2、在Name中你可以随便数据，在Locations中需要输入Zend Studio 8 汉化包的在线更新源，地址为：http://archive.eclipse.org/technology/babel/update-site/R0.8.0/helios/，点击OK，出现Pending字样。
3、选择Chinese (Simplified)选项，即Zend Studio 8 中文简体汉化包，最后只要不停的点击Next按钮。

Zend Studio 8 汉化安装提示：在Zend Studio 8 汉化的过程中会出现一个错误提示，只要忽略即可，安装完毕后，会出现restart now按钮，点击，重启Zend Studio 8。

发表在 article | 已关闭评论

windows 2003 x64 iis6 的32bit 和64bit

发表于2011年8月20日由kaisin

IIS 6.0 可支持 32 位和 64 位两种模式。但是，IIS 6.0 不支持在 64 位版本的 Windows 上同时运行这两种模式。ASP.NET 1.1 只在 32 位模式下运行。而 ASP.NET 2.0 在 32 位或 64 位模式下都可以运行。因此，如果想要同时运行 ASP.NET 1.1 和 ASP.NET 2.0，必须在 32 位模式下运行 IIS。

要在 ASP.NET 的不同版本之间切换，请访问以下 Microsoft Developer Network (MSDN) 网站以下载并安装 ASP.NET 1.1 和 ASP.NET 2.0：
http://msdn2.microsoft.com/en-us/netframework/aa731542.aspx (http://msdn2.microsoft.com/en-us/netframework/aa731542.aspx)
例如，如果您正在运行 Microsoft Windows x64 Edition，请下载以下两种可再发行组件包：
.NET Framework 版本 2.0 可再发行组件包 x64（64 位）.NET Framework 版本 1.1 可再发行组件包
安装可再发行组件包后，您就可以在 ASP.NET 的不同版本之间切换了。为此，应对每个 ASP.NET 版本完成以下操作步骤：

ASP.NET 1.1，32 位版本
要运行 32 位版本的 ASP.NET 1.1，按照以下步骤操作：
单击“开始”，单击“运行”，键入 cmd，然后单击“确定”。
键入以下命令启用 32 位模式：
cscript.exe %SYSTEMDRIVE%/inetpub/adminscripts/adsutil.vbs SET W3SVC/AppPools/Enable32bitAppOnWin64 1
键入以下命令，安装 ASP.NET 1.1 版本并在 IIS 根目录下安装脚本映射：
%SYSTEMROOT%/Microsoft.NET/Framework/v1.1.4322/aspnet_regiis.exe -i确保在 Internet 信息服务管理器的 Web 服务扩展列表中，将 ASP.NET 版本 1.1.4322 的状态设置为允许。

ASP.NET 2.0，32 位版本
要运行 32 位版本的 ASP.NET 2.0，请按照以下步骤操作：
单击“开始”，单击“运行”，键入 cmd，然后单击“确定”。
键入以下命令启用 32 位模式：
cscript.exe %SYSTEMDRIVE%/inetpub/adminscripts/adsutil.vbs SET W3SVC/AppPools/Enable32bitAppOnWin64 1
键入以下命令，安装 ASP.NET 2.0（32 位）版本并在 IIS 根目录下安装脚本映射：
%SYSTEMROOT%/Microsoft.NET/Framework/v2.0.40607/aspnet_regiis.exe -i确保在 Internet 信息服务管理器的 Web 服务扩展列表中，将 ASP.NET 版本 2.0.40607（32 位）的状态设置为允许。

ASP.NET 2.0，64 位版本
要运行 64 位版本的 ASP.NET 2.0，请按照以下步骤操作：
单击“开始”，单击“运行”，键入 cmd，然后单击“确定”。
键入以下命令禁用 32 位模式：
cscript.exe %SYSTEMDRIVE%/inetpub/adminscripts/adsutil.vbs SET W3SVC/AppPools/Enable32bitAppOnWin64 0
键入以下命令，安装 ASP.NET 2.0 版本并在 IIS 根目录下安装脚本映射：
%SYSTEMROOT%/Microsoft.NET/Framework64/v2.0.40607/aspnet_regiis.exe -i
确保在 Internet 信息服务管理器的 Web 服务扩展列表中，将 ASP.NET 版本 2.0.40607 的状态设置为允许。
注意：ASP.NET 2.0 的内部版本可能随当前发行的内部版本的变化而变化。这些步骤适用于内部版本 2.0.40607。

Windows x64 版本的技术支持
您的硬件制造商会为 Microsoft Windows x64 版本提供技术支持和帮助，因为他们在您的硬件中包含了 Windows x64 版本。您的硬件制造商可能自定义了使用独特组件的 Windows x64 版本安装。独特的组件可能包括特定设备驱动程序，或者包括用于最大程度地发挥硬件性能的可选设置。如果您需要有关 Windows x64 版本的技术帮助，Microsoft 将尽最大努力提供支持。但是，您可能必须与制造商直接联系。您的制造商最有资格为他们安装在硬件上的软件提供支持。

有关 Microsoft Windows XP Professional x64 版本的产品信息，请访问下面的 Microsoft 网站：
http://www.microsoft.com/china/windowsxp/64bit/default.mspx (http://www.microsoft.com/windowsxp/64bit/default.mspx)
有关 Microsoft Windows Server 2003 x64 版本的产品信息，请访问下面的 Microsoft 网站：
http://www.microsoft.com/china/windowsserver2003/64bit/x64/default.mspx (http://www.microsoft.com/windowsserver2003/64bit/x64/default.mspx)

发表在 web server | 标签为 C# | 已关闭评论

.五种开源协议的比较(BSD,Apache,GPL,LGPL,MIT)

发表于2011年8月9日由kaisin

现今存在的开源协议很多，而经过Open Source Initiative组织通过批准的开源协议目前有58种（http://www.opensource.org/licenses/alphabetical）。我们在常见的开源协议如BSD, GPL, LGPL,MIT等都是OSI批准的协议。如果要开源自己的代码，最好也是选择这些被批准的开源协议。

这里我们来看四种最常用的开源协议及它们的适用范围，供那些准备开源或者使用开源产品的开发人员/厂家参考。

BSD开源协议（original BSD license、FreeBSD license、Original BSD license）

BSD开源协议是一个给于使用者很大自由的协议。基本上使用者可以”为所欲为”,可以自由的使用，修改源代码，也可以将修改后的代码作为开源或者专有软件再发布。

但”为所欲为”的前提当你发布使用了BSD协议的代码，或则以BSD协议代码为基础做二次开发自己的产品时，需要满足三个条件：

如果再发布的产品中包含源代码，则在源代码中必须带有原来代码中的BSD协议。
如果再发布的只是二进制类库/软件，则需要在类库/软件的文档和版权声明中包含原来代码中的BSD协议。
不可以用开源代码的作者/机构名字和原来产品的名字做市场推广。

BSD 代码鼓励代码共享，但需要尊重代码作者的著作权。BSD由于允许使用者修改和重新发布代码，也允许使用或在BSD代码上开发商业软件发布和销售，因此是对商业集成很友好的协议。而很多的公司企业在选用开源产品的时候都首选BSD协议，因为可以完全控制这些第三方的代码，在必要的时候可以修改或者二次开发。

Apache Licence 2.0（Apache License, Version 2.0、Apache License, Version 1.1、Apache License, Version 1.0）

Apache Licence是著名的非盈利开源组织Apache采用的协议。该协议和BSD类似，同样鼓励代码共享和尊重原作者的著作权，同样允许代码修改，再发布（作为开源或商业软件）。需要满足的条件也和BSD类似：

需要给代码的用户一份Apache Licence
如果你修改了代码，需要再被修改的文件中说明。
在延伸的代码中（修改和有源代码衍生的代码中）需要带有原来代码中的协议，商标，专利声明和其他原来作者规定需要包含的说明。
如果再发布的产品中包含一个Notice文件，则在Notice文件中需要带有Apache Licence。你可以在Notice中增加自己的许可，但不可以表现为对Apache Licence构成更改。

Apache Licence也是对商业应用友好的许可。使用者也可以在需要的时候修改代码来满足需要并作为开源或商业产品发布/销售。

GPL（GNU General Public License）

我们很熟悉的Linux就是采用了GPL。GPL协议和BSD, Apache Licence等鼓励代码重用的许可很不一样。GPL的出发点是代码的开源/免费使用和引用/修改/衍生代码的开源/免费使用，但不允许修改后和衍生的代码做为闭源的商业软件发布和销售。这也就是为什么我们能用免费的各种linux，包括商业公司的linux和linux上各种各样的由个人，组织，以及商业软件公司开发的免费软件了。

GPL协议的主要内容是只要在一个软件中使用(”使用”指类库引用，修改后的代码或者衍生代码)GPL 协议的产品，则该软件产品必须也采用GPL协议，既必须也是开源和免费。这就是所谓的”传染性”。GPL协议的产品作为一个单独的产品使用没有任何问题，还可以享受免费的优势。

由于GPL严格要求使用了GPL类库的软件产品必须使用GPL协议，对于使用GPL协议的开源代码，商业软件或者对代码有保密要求的部门就不适合集成/采用作为类库和二次开发的基础。

其它细节如再发布的时候需要伴随GPL协议等和BSD/Apache等类似。

LGPL（GNU Lesser General Public License）

LGPL是GPL的一个为主要为类库使用设计的开源协议。和GPL要求任何使用/修改/衍生之GPL类库的的软件必须采用GPL协议不同。LGPL允许商业软件通过类库引用(link)方式使用LGPL类库而不需要开源商业软件的代码。这使得采用LGPL协议的开源代码可以被商业软件作为类库引用并发布和销售。

但是如果修改LGPL协议的代码或者衍生，则所有修改的代码，涉及修改部分的额外代码和衍生的代码都必须采用LGPL协议。因此LGPL协议的开源代码很适合作为第三方类库被商业软件引用，但不适合希望以LGPL协议代码为基础，通过修改和衍生的方式做二次开发的商业软件采用。

GPL/LGPL都保障原作者的知识产权，避免有人利用开源代码复制并开发类似的产品

MIT（MIT）

MIT是和BSD一样宽范的许可协议,作者只想保留版权,而无任何其他了限制.也就是说,你必须在你的发行版里包含原许可协议的声明,无论你是以二进制发布的还是以源代码发布的.

摘自：http://www.awflasher.com/blog/archives/939

参考文献：http://www.fsf.org/licensing/licenses/

发表在 web server | 已关闭评论

UML时序图

发表于2011年8月8日由kaisin

时序图将交互关系表示为一个二维图形，垂直方向为时间轴，时间沿竖线向下延伸;水平方向为对象维，排列的是协作中各独立对象的类元角色-对象。

时序图强调的是消息发送的时间顺序。它由活动者(Actor),对象(Object),消息(Message),生命线(LifeLine)和控制焦点(Focus of control)组成。

发表在 article | 标签为 UML | 已关闭评论

OAUTH协议简介

发表于2011年8月8日由kaisin

摘要：OAUTH协议为用户资源的授权提供了一个安全的、开放而又简易的标准。与以往的授权方式不同之处是OAUTH的授权不会使第三方触及到用户的帐号信息（如用户名与密码），即第三方无需使用用户的用户名与密码就可以申请获得该用户资源的授权，因此OAUTH是安全的。同时，任何第三方都可以使用OAUTH认证服务，任何服务提供商都可以实现自身的OAUTH认证服务，因而OAUTH是开放的。业界提供了OAUTH的多种实现如PHP，JavaScript，Java，Ruby等各种语言开发包，大大节约了程序员的时间，因而OAUTH是简易的。目前互联网很多服务如Open API，很多大头公司如Google，Yahoo，Microsoft等都提供了OAUTH认证服务，这些都足以说明OAUTH标准逐渐成为开放资源授权的标准。

一、OAUTH产生的背景

典型案例：如果一个用户拥有两项服务：一项服务是图片在线存储服务A，另一个是图片在线打印服务B。如下图所示。由于服务A与服务B是由两家不同的服务提供商提供的，所以用户在这两家服务提供商的网站上各自注册了两个用户，假设这两个用户名各不相同，密码也各不相同。当用户要使用服务B打印存储在服务A上的图片时，用户该如何处理？法一：用户可能先将待打印的图片从服务A上下载下来并上传到服务B上打印，这种方式安全但处理比较繁琐，效率低下；法二：用户将在服务A上注册的用户名与密码提供给服务B，服务B使用用户的帐号再去服务A处下载待打印的图片，这种方式效率是提高了，但是安全性大大降低了，服务B可以使用用户的用户名与密码去服务A上查看甚至篡改用户的资源。

很多公司和个人都尝试解决这类问题，包括Google、Yahoo、Microsoft，这也促使OAUTH项目组的产生。OAuth是由Blaine Cook、Chris Messina、Larry Halff 及David Recordon共同发起的，目的在于为API访问授权提供一个开放的标准。OAuth规范的1.0版于2007年12月4日发布。通过官方网址：http://oauth.net可以阅读更多的相关信息。

二、OAUTH简介

在官方网站的首页，可以看到下面这段简介：

An open protocol to allow secure API authorization in a simple and standard method from desktop and web applications.

大概意思是说OAUTH是一种开放的协议，为桌面程序或者基于BS的web应用提供了一种简单的，标准的方式去访问需要用户授权的API服务。OAUTH类似于Flickr Auth、Google's AuthSub、Yahoo's BBAuth、 Facebook Auth等。OAUTH认证授权具有以下特点：

1. 简单：不管是OAUTH服务提供者还是应用开发者，都很容易于理解与使用；

2. 安全：没有涉及到用户密钥等信息，更安全更灵活；

3. 开放：任何服务提供商都可以实现OAUTH，任何软件开发商都可以使用OAUTH；

三、OAUTH相关术语

在弄清楚OAUTH流程之前，我们先了解下OAUTH的一些术语的定义：

OAUTH相关的三个URL：
- Request Token URL: 获取未授权的Request Token服务地址；
- User Authorization URL: 获取用户授权的Request Token服务地址；
- Access Token URL: 用授权的Request Token换取Access Token的服务地址；

OAUTH相关的参数定义：
- oauth_consumer_key: 使用者的ID，OAUTH服务的直接使用者是开发者开发出来的应用。所以该参数值的获取一般是要去OAUTH服务提供商处注册一个应用，再获取该应用的oauth_consumer_key。如Yahoo该值的注册地址为：https://developer.yahoo.com/dashboard/
- oauth_consumer_secret：oauth_consumer_key对应的密钥。
- oauth_signature_method: 请求串的签名方法，应用每次向OAUTH三个服务地址发送请求时，必须对请求进行签名。签名的方法有：HMAC-SHA1、RSA-SHA1与PLAINTEXT等三种。
- oauth_signature: 用上面的签名方法对请求的签名。
- oauth_timestamp: 发起请求的时间戳，其值是距1970 00:00:00 GMT的秒数，必须是大于0的整数。本次请求的时间戳必须大于或者等于上次的时间戳。
- oauth_nonce: 随机生成的字符串，用于防止请求的重放，防止外界的非法攻击。
- oauth_version: OAUTH的版本号，可选，其值必须为1.0。

OAUTH HTTP响应代码：

HTTP 400 Bad Request 请求错误
- Unsupported parameter 参数错误
- Unsupported signature method 签名方法错误
- Missing required parameter 参数丢失
- Duplicated OAuth Protocol Parameter 参数重复
HTTP 401 Unauthorized 未授权
- Invalid Consumer Key 非法key
- Invalid / expired Token 失效或者非法的token
- Invalid signature 签名非法
- Invalid / used nonce 非法的nonce

四、OAUTH认证授权流程

在弄清楚了OAUTH的术语后，我们可以对OAUTH认证授权的流程进行初步认识。其实，简单的来说，OAUTH认证授权就三个步骤，三句话可以概括：

1. 获取未授权的Request Token

2. 获取用户授权的Request Token

3. 用授权的Request Token换取Access Token

当应用拿到Access Token后，就可以有权访问用户授权的资源了。大家肯能看出来了，这三个步骤不就是对应OAUTH的三个URL服务地址嘛。一点没错，上面的三个步骤中，每个步骤分别请求一个URL，并且收到相关信息，并且拿到上步的相关信息去请求接下来的URL直到拿到Access Token。具体的步骤如下图所示：

具体每步执行信息如下：

A. 使用者（第三方软件）向OAUTH服务提供商请求未授权的Request Token。向Request Token URL发起请求，请求需要带上的参数见上图。

B. OAUTH服务提供商同意使用者的请求，并向其颁发未经用户授权的oauth_token与对应的oauth_token_secret，并返回给使用者。

C. 使用者向OAUTH服务提供商请求用户授权的Request Token。向User Authorization URL发起请求，请求带上上步拿到的未授权的token与其密钥。

D. OAUTH服务提供商将引导用户授权。该过程可能会提示用户，你想将哪些受保护的资源授权给该应用。此步可能会返回授权的Request Token也可能不返回。如Yahoo OAUTH就不会返回任何信息给使用者。

E. Request Token 授权后，使用者将向Access Token URL发起请求，将上步授权的Request Token换取成Access Token。请求的参数见上图，这个比第一步A多了一个参数就是Request Token。

F. OAUTH服务提供商同意使用者的请求，并向其颁发Access Token与对应的密钥，并返回给使用者。

G. 使用者以后就可以使用上步返回的Access Token访问用户授权的资源。

从上面的步骤可以看出，用户始终没有将其用户名与密码等信息提供给使用者（第三方软件），从而更安全。用OAUTH实现背景一节中的典型案例：当服务B（打印服务）要访问用户的服务A（图片服务）时，通过OAUTH机制，服务B向服务A请求未经用户授权的Request Token后，服务A将引导用户在服务A的网站上登录，并询问用户是否将图片服务授权给服务B。用户同意后，服务B就可以访问用户在服务A上的图片服务。整个过程服务B没有触及到用户在服务A的帐号信息。如下图所示，图中的字母对应OAUTH流程中的字母：

五、OAUTH服务提供商

OAUTH标准提出到现在不到两年，但取得了很大成功。不仅提供了各种语言的版本库，甚至Google，Yahoo，Microsoft等等互联网大头都实现了OAUTH协议。由于OAUTH的client包有很多，所以我们就没有必要在去自己写，避免重复造轮子，直接拿过来用就行了。我使用了这些库去访问Yahoo OAUTH服务，很不错哦！下面就贴出一些图片跟大家一起分享下！

下图是OAUTH服务提供商引导用户登录（若用户开始没有登录）

下图是提示用户将要授权给第三方应用，是否同意授权的页面

下图提示用户已授权成功的信息

一些服务提供商不仅仅仅实现了OAUTH协议上的功能，还提供了一些更友好的服务，比如管理第三方软件的授权服务。下图就是YAHOO管理软件授权的页面，用户可以取消都某些应用的授权。

发表在 article | 已关闭评论

Redis开源的分布式缓存

发表于2011年7月29日由kaisin

3.0.7 安装一例：

yum install gcc tcl -y
wget http://download.redis.io/releases/redis-3.0.7.tar.gz
tar xzf redis-3.0.7.tar.gz
cd redis-3.0.7
make
make test
make PREFIX=/usr/local/redis install

按默认添加自动启动
./utils/install_server.sh

手工添加
mkdir -p /usr/local/redis/etc
cp redis.conf /usr/local/redis/etc/
mkdir /etc/redis
ln -s /usr/local/redis/etc/redis.conf /etc/redis/6379.conf
cp utils/redis_init_script /etc/init.d/redis

vi /etc/init.d/redis
在头部 !/bin/sh 下一行添加
chkconfig: 2345 80 30
启动的优先级80，关闭的优先级是30
保存后执行：
chkconfig --add redis
chkconfig redis on

# By default Redis does not run as a daemon. Use 'yes' if you need it.
# Note that Redis will write a pid file in /var/run/redis.pid when daemonized.
daemonize yes

配置一些参数配置：
#echo vm.overcommit_memory = 1 >> /etc/sysctl.conf 修改内存检测方式允许使用所有物理内存，防止高负载时性能严重下降

#echo vm.dirty_bytes=33554432 >> /etc/sysctl.conf 为了解决aof导致的busy问题，让系统从内存往硬盘刷数据的大小由默认的内存的10%减小到32M

#echo never > /sys/kernel/mm/transparent_hugepage/enabled 关闭巨透明页,centos6以上版本需要，如果改了需要重启，否则不用重启

#sysctl -p 立刻生效

Redis按照官方的定义是一个开源的，高级的键值存储。本文就想扩展开介绍，高级和存储两点。

为什么高级，咱们列一下它的基本特性：

每秒10万+的读，8万+的写（是不是有点吹？）
操作原子性（还支持把一组命令合并为一个原子操作）
多种基元数据类型的支持（hash/list/（sorted）set/string）
支持过期（可以用作缓存）
支持主从架构（多级层次）
支持管道（一次性发送多个命令执行）

以及丰富的API：

提供丰富有关key的操作命令
- 移动/排序/删除/重命名/获取类型/是否存在
- 获得符合某个表达式的所有键
- 设置和删除过期时间
- 随机获得一个
提供丰富的list结构操作命令
- 获取列表长度
- 获取列表中一段元素
- 移除一个或若干项
- 从最后开始移除若干项
- 追加一个项
- 为列表最前加入一项
- 移除并获取第一项
- 移除并获取最后一项
- 按照索引号获取或设置项
- 移除A列表最后一项追加到B列表
- 在列表中某个项（根据值）前或后加入项
- 获取项的索引号
提供丰富的string操作命令
- 设置（允许有过期）和追加值
- 获取值的一段
- 递减和递增
- 减少和增加
- 设置新值并且返回老的值
- 一次获取和设置多个键的值
- 获取值的长度
提供丰富的set结构操作命令
- 增加
- 批量增加
- 交集（并且保存到另外一个集合）
- 并集（并且保存到另外一个集合）
- 从一个移除加入另一个
- 获取长度
- 随机获取（并移除）
- 是否存在
- 获取所有
提供丰富的hash结构操作命令
提供丰富的sorted set操作命令
支持主从（并且支持多层）
提供发布订阅功能
- ******某个信道（符合某个表达式）的消息
- 向某个信道发布消息
提供事务功能
- 开始事务块
- 抛弃之前的所有命令
- 执行事务块中的所有命令
- 监视某个键的事务执行
其它
- 授权
- 改变数据库
- 在线配置
- 异步刷新数据到磁盘
- 同步刷新数据到磁盘
- 获取状态信息
- 获得调试信息
- 删除所有数据
- 关闭
支持SET if Not eXists（可以用作分布式锁）

这么多API总结起来：

如此多的基于服务端的命令可以实现各种各样的逻辑（这里重点突出服务端这个词，虽然我们知道很多情况下可以get后再set，或是getall后再setall，但是这效率无法和服务端直接操作相比）
很多命令都组合成了原子命令（这是很重要的，使得我们不需要在客户端做分布式锁）
创新的list/set/sorted set存储结构，比单纯的key/value丰富多了

接下来说说存储这个词，很多人把它和memcached来比较，其实Redis的配置和架构是如此灵活，我们想怎么用就怎么用，想怎么调优就怎么调，可以为我们的应用来定制存储架构：

设置数据刷新到磁盘的条件（几秒内几次改动）
设置数据刷新到磁盘的方式（总是/每秒/不刷新）
设置虚拟内存（最大内存/页大小/页数量）
设置限制（内存占用/并发数/端口/是否后台）

对于用作缓存还是存储，数据的安全性等我们都可以根据不同的应用来调整。那么Redis可以用作哪些应用呢？

分布式缓存
分布式锁
消息队列
全文索引
和业务逻辑绑定的存储
发布订阅
分布式锁
博客的例子

更多信息，参阅：

发表在 cache | 已关闭评论

REDIS WINDOWS 下配置

发表于2011年7月29日由kaisin

Windows版的Redis可到此处下载，非官方版
http://code.google.com/p/servicestack/wiki/RedisWindowsDownload

redis.conf
复制以下===与====之内的内容
=================================
# Redis configuration file example

# By default Redis does not run as a daemon. Use 'yes' if you need it.
# Note that Redis will write a pid file in /var/run/redis.pid when daemonized.
daemonize no

# When run as a daemon, Redis write a pid file in /var/run/redis.pid by default.
# You can specify a custom pid file location here.
pidfile /var/run/redis.pid

# Accept connections on the specified port, default is 6379
port 6379

# If you want you can bind a single interface, if the bind option is not
# specified all the interfaces will listen for connections.
#
# bind 127.0.0.1

# Close the connection after a client is idle for N seconds (0 to disable)
timeout 300

# Set server verbosity to 'debug'
# it can be one of:
# debug (a lot of information, useful for development/testing)
# notice (moderately verbose, what you want in production probably)
# warning (only very important / critical messages are logged)
loglevel debug

# Specify the log file name. Also 'stdout' can be used to force
# the demon to log on the standard output. Note that if you use standard
# output for logging but daemonize, logs will be sent to /dev/null
logfile stdout

# Set the number of databases. The default database is DB 0, you can select
# a different one on a per-connection basis using SELECT <dbid> where
# dbid is a number between 0 and 'databases'-1
databases 16

################################ SNAPSHOTTING #################################
#
# Save the DB on disk:
#
#   save <seconds> <changes>
#
#   Will save the DB if both the given number of seconds and the given
#   number of write operations against the DB occurred.
#
#   In the example below the behaviour will be to save:
#   after 900 sec (15 min) if at least 1 key changed
#   after 300 sec (5 min) if at least 10 keys changed
#   after 60 sec if at least 10000 keys changed
save 900 1
save 300 10
save 60 10000

# Compress string objects using LZF when dump .rdb databases?
# For default that's set to 'yes' as it's almost always a win.
# If you want to save some CPU in the saving child set it to 'no' but
# the dataset will likely be bigger if you have compressible values or keys.
rdbcompression yes

# The filename where to dump the DB
dbfilename dump.rdb

# For default save/load DB in/from the working directory
# Note that you must specify a directory not a file name.
dir ./

################################# REPLICATION #################################

# Master-Slave replication. Use slaveof to make a Redis instance a copy of
# another Redis server. Note that the configuration is local to the slave
# so for example it is possible to configure the slave to save the DB with a
# different interval, or to listen to another port, and so on.
#
# slaveof <masterip> <masterport>

# If the master is password protected (using the "requirepass" configuration
# directive below) it is possible to tell the slave to authenticate before
# starting the replication synchronization process, otherwise the master will
# refuse the slave request.
#
# masterauth <master-password>

################################## SECURITY ###################################

# Require clients to issue AUTH <PASSWORD> before processing any other
# commands. This might be useful in environments in which you do not trust
# others with access to the host running redis-server.
#
# This should stay commented out for backward compatibility and because most
# people do not need auth (e.g. they run their own servers).
#
# requirepass foobared

################################### LIMITS ####################################

# Set the max number of connected clients at the same time. By default there
# is no limit, and it's up to the number of file descriptors the Redis process
# is able to open. The special value '0' means no limts.
# Once the limit is reached Redis will close all the new connections sending
# an error 'max number of clients reached'.
#
# maxclients 128

# Don't use more memory than the specified amount of bytes.
# When the memory limit is reached Redis will try to remove keys with an
# EXPIRE set. It will try to start freeing keys that are going to expire
# in little time and preserve keys with a longer time to live.
# Redis will also try to remove objects from free lists if possible.
#
# If all this fails, Redis will start to reply with errors to commands
# that will use more memory, like SET, LPUSH, and so on, and will continue
# to reply to most read-only commands like GET.
#
# WARNING: maxmemory can be a good idea mainly if you want to use Redis as a
# 'state' server or cache, not as a real DB. When Redis is used as a real
# database the memory usage will grow over the weeks, it will be obvious if
# it is going to use too much memory in the long run, and you'll have the time
# to upgrade. With maxmemory after the limit is reached you'll start to get
# errors for write operations, and this may even lead to DB inconsistency.
#
# maxmemory <bytes>

############################## APPEND ONLY MODE ###############################

# By default Redis asynchronously dumps the dataset on disk. If you can live
# with the idea that the latest records will be lost if something like a crash
# happens this is the preferred way to run Redis. If instead you care a lot
# about your data and don't want to that a single record can get lost you should
# enable the append only mode: when this mode is enabled Redis will append
# every write operation received in the file appendonly.log. This file will
# be read on startup in order to rebuild the full dataset in memory.
#
# Note that you can have both the async dumps and the append only file if you
# like (you have to comment the "save" statements above to disable the dumps).
# Still if append only mode is enabled Redis will load the data from the
# log file at startup ignoring the dump.rdb file.
#
# The name of the append only file is "appendonly.log"
#
# IMPORTANT: Check the BGREWRITEAOF to check how to rewrite the append
# log file in background when it gets too big.

appendonly no

# The fsync() call tells the Operating System to actually write data on disk
# instead to wait for more data in the output buffer. Some OS will really flush
# data on disk, some other OS will just try to do it ASAP.
#
# Redis supports three different modes:
#
# no: don't fsync, just let the OS flush the data when it wants. Faster.
# always: fsync after every write to the append only log . Slow, Safest.
# everysec: fsync only if one second passed since the last fsync. Compromise.
#
# The default is "always" that's the safer of the options. It's up to you to
# understand if you can relax this to "everysec" that will fsync every second
# or to "no" that will let the operating system flush the output buffer when
# it want, for better performances (but if you can live with the idea of
# some data loss consider the default persistence mode that's snapshotting).

appendfsync always
# appendfsync everysec
# appendfsync no

############################### ADVANCED CONFIG ###############################

# Glue small output buffers together in order to send small replies in a
# single TCP packet. Uses a bit more CPU but most of the times it is a win
# in terms of number of queries per second. Use 'yes' if unsure.
glueoutputbuf yes

# Use object sharing. Can save a lot of memory if you have many common
# string in your dataset, but performs lookups against the shared objects
# pool so it uses more CPU and can be a bit slower. Usually it's a good
# idea.
#
# When object sharing is enabled (shareobjects yes) you can use
# shareobjectspoolsize to control the size of the pool used in order to try
# object sharing. A bigger pool size will lead to better sharing capabilities.
# In general you want this value to be at least the double of the number of
# very common strings you have in your dataset.
#
# WARNING: object sharing is experimental, don't enable this feature
# in production before of Redis 1.0-stable. Still please try this feature in
# your development environment so that we can test it better.
# shareobjects no
# shareobjectspoolsize 1024

================================================
将以上内容存储为redis.conf

解压下载的redis包。我的windows下的解压地址是D:\redis-2.0.2
将redis.conf 拷贝到D:\redis-2.0.2\下

指定redis的配置文件，如没有指定，则使用默认设置
D:\redis-2.0.2>redis-server.exe redis.conf

如下图则开启正常

新开一个cmd命令窗口
redis-cli.exe：命令行客户端，测试用
D:\redis-2.0.2>redis-cli.exe -h 192.168.10.59 -p 6379
192.168.10.59 是我本地的地址

如下图则

玩redis吧~~

------------------------------------------------------------------------------------------------

另一摘要

------------------------------------------------------------------------------------------------

window平台Redis安装

下载地址: http://code.google.com/p/servicestack/wiki/RedisWindowsDownload

Redis文件夹有以下几个文件

redis-server.exe：服务程序

redis-check-dump.exe：本地数据库检查

redis-check-aof.exe：更新日志检查

redis-benchmark.exe：性能测试，用以模拟同时由N个客户端发送M个 SETs/GETs 查询 (类似于 Apache 的ab 工具).

指定redis的配置文件，如没有指定，则使用默认设置

解压目录:

d:\>redis-server.exe

redis-cli.exe：命令行客户端，测试用.windows下没有redis.conf配置文件.

解压目录:

d:\>redis-cli.exe -h 127.0.0.1 -p 6379

使用方法有两种:一种是直接使用redis-cli.exe 后面加操作,另一种是直接输入redis-cli.exe进入管理界面,然后直接在redis提示符下输入命令即可.

设置一个Key并获取返回的值:

$ ./redis-cli set mykey somevalue

OK

$ ./redis-cli get mykey

Somevalue

如何添加值到list:

$ ./redis-cli lpush mylist firstvalue

OK

$ ./redis-cli lpush mylist secondvalue

OK

$ ./redis-cli lpush mylist thirdvalue

OK

$ ./redis-cli lrange mylist 0 -1

1. thirdvalue

2. secondvalue

3. firstvalue

$ ./redis-cli rpop mylist

firstvalue

$ ./redis-cli lrange mylist 0 -1

1. thirdvalue

2. secondvalue

redis-benchmark.exe：性能测试，用以模拟同时由N个客户端发送M个 SETs/GETs 查询 (类似于 Apache 的 ab 工具).

./redis-benchmark -n 100000 –c 50

====== SET ======

100007 requests completed in 0.88 seconds （译者注：100004 查询完成于 1.14 秒）

50 parallel clients （译者注：50个并发客户端）

3 bytes payload （译者注：3字节有效载荷)

keep alive: 1 （译者注：保持1个连接)

58.50% <= 0 milliseconds（译者注：毫秒）

99.17% <= 1 milliseconds

99.58% <= 2 milliseconds

99.85% <= 3 milliseconds

99.90% <= 6 milliseconds

100.00% <= 9 milliseconds

114293.71 requests per second（译者注：每秒 114293.71 次查询）

......

Windows下测试并发客户端极限为60

linux平台Redis安装：

wget http://code.google.com/p/redis/downloads/detail?name=redis-2.0.4.tar.gz
tar xvzf redis-2.0.4.tar.gz
cd  redis-2.0.4
make
mkdir /home/redis
cp redis-server  /home/redis
cp redis-benchmark  /home/redis
cp redis-cli  /home/redis
cp redis.conf  /home/redis
cd  /home/redis

启动

./redis-server redis.conf

进入命令交互模式，两种：

1: ./redis-cli

2: telnet 127.0.0.1 6379 (ip接端口)

在安装的时候要注意系统时间要正确,不然可能会提示"make[1]: warning: Clock skew detected. Your build may be incomplete"错误!

=============================================================

配置文件参数说明:

1. Redis默认不是以守护进程的方式运行，可以通过该配置项修改，使用yes启用守护进程

daemonize no

2. 当Redis以守护进程方式运行时，Redis默认会把pid写入/var/run/redis.pid文件，可以通过pidfile指定

pidfile /var/run/redis.pid

3. 指定Redis监听端口，默认端口为6379，作者在自己的一篇博文中解释了为什么选用6379作为默认端口，因为6379在手机按键上MERZ对应的号码，而MERZ取自意大利歌女Alessia Merz的名字

port 6379

4. 绑定的主机地址

bind 127.0.0.1

5.当客户端闲置多长时间后关闭连接，如果指定为0，表示关闭该功能

timeout 300

6. 指定日志记录级别，Redis总共支持四个级别：debug、verbose、notice、warning，默认为verbose

loglevel verbose

7. 日志记录方式，默认为标准输出，如果配置Redis为守护进程方式运行，而这里又配置为日志记录方式为标准输出，则日志将会发送给/dev/null

logfile stdout

8. 设置数据库的数量，默认数据库为0，可以使用SELECT <dbid>命令在连接上指定数据库id

databases 16

9. 指定在多长时间内，有多少次更新操作，就将数据同步到数据文件，可以多个条件配合

save <seconds> <changes>

Redis默认配置文件中提供了三个条件：

save 900 1

save 300 10

save 60 10000

分别表示900秒（15分钟）内有1个更改，300秒（5分钟）内有10个更改以及60秒内有10000个更改。

10. 指定存储至本地数据库时是否压缩数据，默认为yes，Redis采用LZF压缩，如果为了节省CPU时间，可以关闭该选项，但会导致数据库文件变的巨大

rdbcompression yes

11. 指定本地数据库文件名，默认值为dump.rdb

dbfilename dump.rdb

12. 指定本地数据库存放目录

dir ./

13. 设置当本机为slav服务时，设置master服务的IP地址及端口，在Redis启动时，它会自动从master进行数据同步

slaveof <masterip> <masterport>

14. 当master服务设置了密码保护时，slav服务连接master的密码

masterauth <master-password>

15. 设置Redis连接密码，如果配置了连接密码，客户端在连接Redis时需要通过AUTH <password>命令提供密码，默认关闭

requirepass foobared

16. 设置同一时间最大客户端连接数，默认无限制，Redis可以同时打开的客户端连接数为Redis进程可以打开的最大文件描述符数，如果设置 maxclients 0，表示不作限制。当客户端连接数到达限制时，Redis会关闭新的连接并向客户端返回max number of clients reached错误信息

maxclients 128

17. 指定Redis最大内存限制，Redis在启动时会把数据加载到内存中，达到最大内存后，Redis会先尝试清除已到期或即将到期的Key，当此方法处理后，仍然到达最大内存设置，将无法再进行写入操作，但仍然可以进行读取操作。Redis新的vm机制，会把Key存放内存，Value会存放在swap区

maxmemory <bytes>

18. 指定是否在每次更新操作后进行日志记录，Redis在默认情况下是异步的把数据写入磁盘，如果不开启，可能会在断电时导致一段时间内的数据丢失。因为 redis本身同步数据文件是按上面save条件来同步的，所以有的数据会在一段时间内只存在于内存中。默认为no

appendonly no

19. 指定更新日志文件名，默认为appendonly.aof

appendfilename appendonly.aof

20. 指定更新日志条件，共有3个可选值：

no：表示等操作系统进行数据缓存同步到磁盘（快）

always：表示每次更新操作后手动调用fsync()将数据写到磁盘（慢，安全）

everysec：表示每秒同步一次（折衷，默认值）

appendfsync everysec

21. 指定是否启用虚拟内存机制，默认值为no，简单的介绍一下，VM机制将数据分页存放，由Redis将访问量较少的页即冷数据swap到磁盘上，访问多的页面由磁盘自动换出到内存中（在后面的文章我会仔细分析Redis的VM机制）

vm-enabled no

22. 虚拟内存文件路径，默认值为/tmp/redis.swap，不可多个Redis实例共享

vm-swap-file /tmp/redis.swap

23. 将所有大于vm-max-memory的数据存入虚拟内存,无论vm-max-memory设置多小,所有索引数据都是内存存储的(Redis的索引数据就是keys),也就是说,当vm-max-memory设置为0的时候,其实是所有value都存在于磁盘。默认值为0

vm-max-memory 0

24. Redis swap文件分成了很多的page，一个对象可以保存在多个page上面，但一个page上不能被多个对象共享，vm-page-size是要根据存储的数据大小来设定的，作者建议如果存储很多小对象，page大小最好设置为32或者64bytes；如果存储很大大对象，则可以使用更大的page，如果不确定，就使用默认值

vm-page-size 32

25. 设置swap文件中的page数量，由于页表（一种表示页面空闲或使用的bitmap）是在放在内存中的，，在磁盘上每8个pages将消耗1byte的内存。

vm-pages 134217728

26. 设置访问swap文件的线程数,最好不要超过机器的核数,如果设置为0,那么所有对swap文件的操作都是串行的，可能会造成比较长时间的延迟。默认值为4

vm-max-threads 4

27. 设置在向客户端应答时，是否把较小的包合并为一个包发送，默认为开启

glueoutputbuf yes

28. 指定在超过一定的数量或者最大的元素超过某一临界值时，采用一种特殊的哈希算法

hash-max-zipmap-entries 64

hash-max-zipmap-value 512

29. 指定是否激活重置哈希，默认为开启（后面在介绍Redis的哈希算法时具体介绍）

activerehashing yes

30. 指定包含其它的配置文件，可以在同一主机上多个Redis实例之间使用同一份配置文件，而同时各个实例又拥有自己的特定配置文件

include /path/to/local.conf

=============================================================

问题讨论:
1. Redis官方文档对VM的使用提出了一些建议:
当你的key很小而value很大时,使用VM的效果会比较好.因为这样节约的内存比较大.
当你的key不小时,可以考虑使用一些非常方法将很大的key变成很大的value,比如你可以考虑将key,value组合成一个新的value.
最好使用linux ext3 等对稀疏文件支持比较好的文件系统保存你的swap文件.
vm-max-threads这个参数,可以设置访问swap文件的线程数,设置最好不要超过机器的核数.如果设置为0,那么所有对swap文件的操作都是串行的.可能会造成比较长时间的延迟,但是对数据完整性有很好的保证.
2. 关于Redis新的存储模式diskstore（http://timyang.net/data/redis-diskstore），
节选：
适合Web 2.0数据访问最佳的方式就是完全基于内存，比如用Memcached或者Redis snapshot方式。但是更多的业务场景是数据规模会超过RAM容量，因此有几种不同的设计模式。

VM方式: 将数据分页存放，由应用(如Redis)或者操作系统(如Varnish)将访问量较少的页即冷数据swap到磁盘上，访问多的页面由磁盘自动换出到内存中。应用实现VM缺点是代码逻辑复杂，如果业务上冷热数据边界并不分明，则换入换出代价太高，系统整体性能低。不少抢鲜的网友在微博上也反馈过使用VM种种不稳定情况。操作系统实现缺点在于主要OS的VM换入换出是基于Page概念，比如OS VM1个Page是4K, 4K中只要还有一个元素即使只有1个字节被访问，这个页也不会被SWAP,换入也同样道理，读到一个字节可能会换入4K无用的内存。而Redis自己实现则可以达到控制换入的粒度。另外访问操作系统SWAP内存区域时block进程，也是导致Redis要自己实现VM原因之一。 磁盘方式: 所有的数据读写访问都是基于磁盘，由操作系统来只能的缓存访问的数据。由于现代操作系统都非常聪明，会将频繁访问的数据加入到内存中，因此应用并不需要过多特殊逻辑。MongoDB就是这种设计方式。这种方式也有一些已知的缺点，比如操作MMap写入磁盘由操作系统控制，操作系统先写哪里后写哪里应用并不知情，如果写入过程中发生了crash则数据一致性会存在问题。这个也是MongoDB饱受争议的单机Durability问题

硬盘存储+cache方式: 实际原理和mysql+memcache方式类似，只不过将两者功能合二为一到一个底层服务中，简化了调用。

在上面几种方式中，除去VM，antirez觉得MongoDB方式也不太适合，因此选择了disktore方式来实现新的磁盘存储，具体细节是

1) 读操作，使用read through以及LRU方式。内存中不存在的数据从磁盘拉取并放入内存，内存中放不下的数据采用LRU淘汰。

2) 写操作，采用另外spawn一个线程单独处理，写线程通常是异步的，当然也可以把cache-flush-delay配置设成0，Redis尽量保证即时写入。但是在很多场合延迟写会有更好的性能，比如一些计数器用Redis存储，在短时间如果某个计数反复被修改，Redis只需要将最终的结果写入磁盘。这种做法作者叫per key persistence。由于写入会按key合并，因此和snapshot还是有差异，disk store并不能保证时间一致性。由于写操作是单线程，即使cache-flush-delay设成0，多个client同时写则需要排队等待，如果队列容量超过cache-max-memory,Redis设计会进入等待状态，造成调用方卡住。Google Group上有热心网友迅速完成了压力测试，当内存用完之后，set每秒处理速度从25k下降到10k再到后来几乎卡住。虽然通过增加cache-flush-delay可以提高相同key重复写入性能；通过增加cache-max-memory可以应对临时峰值写入。但是diskstore写入瓶颈最终还是在IO。
3) rdb 和新 diskstore 格式关系
rdb是传统Redis内存方式的存储格式，diskstore是另外一种格式，那两者关系如何？1.通过BGSAVE可以随时将diskstore格式另存为rdb格式，而且rdb格式还用于Redis复制以及不同存储方式之间的中间格式。

2.通过工具可以将rdb格式转换成diskstore格式。

发表在 cache | 已关闭评论

一、 IIS的身份验证概述

2、 集成windows身份验证

2.1. NTLM验证

2.2. Kerberos验证

三、 Windows集成验证

1、 NTLM验证过程

1.1. 客户端选择NTLM方式

2、 Kerberos验证过程

2.1. 客户端选择Kerberos验证

3.1. 客户端用ip地址访问服务

3.1.1. 客户端IE申请页面

3.1.3. 客户端选择NTLM验证，要求输入用户名密码，请求质询码

3.2. 客户端用机器名访问服务器，登录用户名/口令跟服务器不匹配

3.2.1. 客户端IE申请页面

3.2.3. 客户端选择NTLM验证，请求质询码

3.2.7. 客户端及选选择NTLM验证，要求输入用户名和口令，再次请求质询码

3.3. 客户端用机器名访问服务器，登录用户名/口令跟服务器匹配

3.3.1. 客户端IE申请页面

3.3.3. 客户端选择NTLM验证，请求质询码

4.1. 客户端用机ip访问服务器

4.1.1. 客户端IE申请页面

4.1.3. 客户端选择NTLM验证，要求输入用户名密码，请求质询码

4.2. 客户端用机器名访问服务器，客户端用户以域账户登录

4.2.1. 客户端IE申请页面

4.2.3. 客户端选择Kerberos验证，发送验证票到服务端

4.3. 客户端用机器名访问服务器，客户端用户以客户端本地用户登录，用户名/口令跟服务器账户不匹配

4.3.1. 客户端IE申请页面

4.3.3. 客户端选择NTLM验证，请求质询码

4.3.7. 客户端及选选择NTLM验证，要求输入用户名和口令，再次请求质询码

4.4. 客户端用机器名访问服务器，客户端用户以客户端本地用户登录，用户名/口令跟服务器账户匹配

4.4.1. 客户端IE申请页面

4.4.3. 客户端选择NTLM验证，请求质询码

5.1. 客户端以ip地址访问服务器

5.3. 其他情况IE都选择采用NTLM验证方式。

1、 客户端IE申请页面

建议为打开的端口 dtc

分类

近期文章

其他操作

归档

链接

2、集成windows身份验证

1、客户端IE申请页面