我是 IIS 和身份验证/授权领域的新手。我正在为我们的应用程序中已经过身份验证一次(使用 TTL 进入)的用户实现用户令牌会话缓存。我看到可以在 HttpModule 中的 AddOnBeginRequestAsync 和 AddOnAuthenticateRequestAsync 上引发事件。我们正在使用 Windows 身份验证。在这方面我有3个问题:
当引发 AddOnAuthenticateRequestAsync 的 BeginEventhandler 时,请求是否已通过身份验证?
如何要求 IIS 放弃对某些用户的身份验证(使用我生成的身份验证缓存)。我可以在 BeginRequest 的 BeginEventHandler 中执行此检查。
对于具有不良凭据的攻击性用户的遥测,如何获取失败的身份验证请求的用户名。我能否从 LogRequest 事件中获取此信息?
如果您也可以将文章/文档指向阅读,那就太好了。
谢谢