Windows 身份验证不会挑战域外的浏览器

Question

我有一个允许匿名访问和 Windows 身份验证的 Web 应用程序。

基本上，如果 Windows 用户位于应用程序的用户列表中，则应用程序会尝试通过 Windows 身份验证自动登录用户，否则会显示登录屏幕。如果未提供凭据，应用程序将显示一个登录屏幕，用户可以在其中使用应用程序内部用户登录。

据我所知，Windows 身份验证是一个具有挑战性的协议，因此我必须返回 Unauthorized 才能强制浏览器发送凭据。

当机器位于我的域内时，它效果很好。

用户在我的域中的计算机位于列表中：

• 浏览器发出没有凭据的请求。
• Web 应用程序自定义授权过滤器拒绝连接（挑战）。
• 浏览器使用 Windows 凭据重新发出请求。
• Web 应用程序对 Windows 用户进行身份验证并允许其获取。

我的域中的计算机，用户不在允许列表中：

• 浏览器发出没有凭据的请求。
• Web 应用程序自定义授权过滤器拒绝连接（挑战）。
• 浏览器使用 Windows 凭据重新发出请求。
• Web 应用程序无法验证请求并重定向到登录屏幕。

现在问题来了。

计算机不在我的域中，用户不在允许列表中：

• 浏览器发出没有凭据的请求。
• Web 应用程序自定义授权过滤器拒绝连接（挑战）。
• 浏览器显示 Windows 登录屏幕，并且不会重新发出请求。

当服务器未经授权返回时，为什么不重新发出请求？

如果我关闭身份验证对话框并刷新浏览器，则应用程序将重定向到登录页面。

问候。

Answer 1

那么，如果计算机位于服务器域之外，浏览器将不会尝试发送凭据（因为这对于 Windows 身份验证而言可能毫无意义），并且会在第一个 HTTP 401 之后提示输入凭据。

解决方案是启用将匿名身份验证与Windows身份验证结合在一起，并让登录页面可以匿名访问。在登录页面中放置登录控件和一个名为“Windows Login”的按钮，该按钮导航到名为“WindowsAuth”的操作方法。在该操作方法中，如果不是 Request.LogonUserIdentity.IsAuthenticated，则返回 HttpUnauthorizedResult，否则重定向到 Home，这将强制浏览器发送 Windows 凭据。

如果域外的浏览器尝试进行“Windows登录”，它将得到一个不错的“HTTP 401未经授权”页面，因此他可以回击并以传统方式执行登录。

我希望这对某人有帮助。