我无法访问我的 blazor 服务器端应用程序的身份服务器,并且目前正在使用 Windows 身份验证,我为整个站点工作。登录不是问题,但为了控制注销和撤销用户身份验证(对于终端场景),我必须将它们发送到我在 IIS 中配置的自定义 401 未经授权页面。
在这里,他们会立即在端点再次提示输入 Windows 凭据,无论如何都会拒绝他们。这是撤销用户的身份验证。如果我的网站使用 Windows 身份验证,是否可以绕过此身份验证提示?在“注销”端点上关闭身份验证窗口后,它们将被重定向到登录页面。
测试人员要求我们自动关闭不需要的身份验证提示,以便他们可以立即重定向到登录页面,而无需用户输入。 如果我能澄清一下这让我完全困惑的事情,据我了解,这不是 IIS 设计的目的。
到目前为止,在用户在我的“始终拒绝”端点上关闭 Windows 身份验证窗口后,用户将被定向到我的登录页面。如果我可以以某种方式绕过或自动关闭此窗口,那么我就可以跳过创建自己的身份验证的需要。由于经济限制,我无法在我工作的地方获得 Duende 许可证。
有一种方法可以避免外部用户弹出登录窗口 - 将表单身份验证和 Windows 身份验证混合在一起。内部用户使用 Windows 身份验证,外部用户使用 Forms 身份验证。
查看这些链接以了解有关如何实施混合身份验证的更多信息: