需要用户使用 NTLM 重新进行身份验证

Question

我是 NTLM（web.config 中的authenication=“windows”），有一个 asp.net mvc 2.0 站点。

现在，一旦用户登录，他们就会一次保持登录状态数周。

该应用程序的使用正在向共享使用登录服务帐户的计算机的用户开放。

我需要网站每次重新提示每个用户输入 AD 凭据，以便处理这些用户。 （网站上的活动必须链接到唯一标识的用户。）

感谢您提供的任何帮助。

特雷·卡罗尔

Answer 1

执行此操作的一种方法是使用HTTP 401 挑战。

原则是拒绝凭证，即使它们有效地强制所有用户（或某些取决于 AD 属性/代码参数...）重新输入其凭证。

您必须在响应中发送 HTTP 401 代码，以向浏览器表明不接受已发送的凭据。
根据浏览器配置，您必须发送 1 到 3 个 401 响应（您可以使用 cookie 来处理计数器）来强制浏览器提示用户，因此最多计数 3。

if (mycounter < 3)
{
    Response.StatusCode = 401; 
    Response.End();
}

HTTP 的 NTLM 身份验证方案

IIS 身份验证

Answer 2

我会更改应用程序以使用表单身份验证。您仍然可以根据 AD 验证凭据，但您将能够强制执行登录要求。

Answer 3

您能否确保他们只使用不自动支持 NTLM 的浏览器？例如，当我访问 Sharepoint 服务器时，我必须在 Firefox 中使用我的域凭据登录。