该应用程序已经在使用 Windows 集成安全性,而不是 Forms。我正在尝试完成的是所谓的“升级”身份验证,或以下场景的“强制重新身份验证”:
- 用户正在浏览网站做一些常见的、琐碎的事情
- 突然,用户必须执行敏感操作,例如授权资源分配或确认汽车贷款或类似的事情
- 在用户被重定向到敏感页面之前,系统会提示用户输入凭据,其方式类似于 SharePoint 的“以其他用户身份登录”
- 当且仅当输入的凭据与当前登录用户的凭据相同时,应用程序才会进入敏感区域。
这将防止以下两个问题:
- 用户去开会或喝咖啡,忘记锁定工作站,同事使用会话访问敏感区域
- 用户输入他或她的老板的凭据(因为,假设他偷看老板的肩膀)以访问敏感区域。
我知道,有些人会认为这是“偏执狂”,但也有些人会说这是常识,应该在某个框架(jQuery 或 .NET)中构建