在托管 ASP.NET CORE 应用程序时,IIS 是否真的需要匿名或 Windows 身份验证之一

在托管 ASP.NET CORE 应用程序时,IIS 是否真的需要匿名或 Windows 身份验证之一

我有一个托管在 IIS 中的 ASP.NET CORE 应用程序。该应用程序使用 OAUTH/OIDC 对 API 请求进行身份验证。我观察到,如果未激活匿名身份验证或 Windows 身份验证,则请求将被 IIS 拒绝,并且不会传递到应用程序(即使身份验证标头设置为 Bearer)。如果我启用匿名身份验证,则请求将传递到应用程序,根据 OAUTH/OIDC 进行身份验证。

我相信,对于在 IIS 中托管的经典 ASP.NET 应用程序,即使未启用匿名和 Windows 身份验证,请求仍会传递到该应用程序。

社区能否确认这一点 - 我必须在 IIS 中激活匿名模式还是我缺少其他配置?

我们的 IT 管理策略是不允许在 IIS 中进行匿名身份验证(这是一个问题,因为我们将 ASP.NET Core 应用程序迁移到 OIDC 并远离 Windows 身份验证)

相关内容