如何让 IHttpHandler 正确执行身份验证？

Question

我有一些 IHttpHandler 实现，它们可以选择应用身份验证。

我最初推出了自己的基本身份验证，但现在想使用 IIS 的功能，以便部署用户可以控制他们使用的身份验证类型，并且处理程序只需查找是否允许当前用户执行他们请求的操作。

确定用户是否可以执行操作并返回 401/403 很容易，但我不知道如何让 IIS 将相关 HTTP 标头添加到请求客户端发回凭据的响应中。 我可以手动添加它们，但随后我只能实际实现基本身份验证（这就是我最初所做的），这让我回到了第一个方面。

我可以调用一些神奇的方法来告诉 HttpContext 将相关标头附加到响应中吗？

更一般地说，我正在尝试做什至可能不诉诸实现 IHttpModule 来干扰 ASP.Net 页面生命周期的身份验证事件？