Можно ли удалить как NTLM, так и Negotiate из проверки подлинности Windows IIS?
Я использую анонимную аутентификацию для моего WebAPI в IIS. я использую bearer токен для аутентификации вызовов API через ajax, но по какой-то причине я получаю следующий заголовок в своем заголовке запроса.
Accept: application/json, text/javascript, */*; q=0.01
Accept-Encoding: gzip, deflate, peerdist
Accept-Language: en-US
Authorization: Negotiate TlRMTVNTUAABAAAAl4II4gAAAAAAAAAAAAAAAAAAAAAKADk4AAAADw==
Connection: Keep-Alive
Content-Type: application/json
Cookie: s_fid=3FAA4D3AC941DFD0-32A6EFA783EFEF0E;
ASP.NET_SessionId=4pkyzdnnd1z3hg4tzbs5zxzm
Host: demosite.com
Referer: https://Demosite.com/Index
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.79 Safari/537.36 Edge/14.14393
X-P2P-PeerDist: Version=1.1
X-P2P-PeerDistEx: MinContentInformation=1.0, MaxContentInformation=2.0
X-Requested-With: XMLHttpRequest
Это вызов моей конечной точки API. Вместо bearer маркер я получаю negotiate знак для того же. Что дает мне следующий заголовок ответа
Access-Control-Allow-Headers: Content-Type, Content-Range, Content- Disposition, Content-Description, Origin, X-Requested-With,Accept,Authorization,X-HTTP-Method-Override
Access-Control-Allow-Methods: GET, PUT, POST, DELETE, OPTIONS
Access-Control-Allow-Origin: *
Cache-Control: no-cache
Content-Length: 61
Content-Type: application/json; charset=utf-8
Date: Thu, 15 Mar 2018 12:27:53 GMT
Expires: -1
Pragma: no-cache
Server: Microsoft-IIS/8.5
WWW-Authenticate: Bearer
X-AspNet-Version: 4.0.30319
X-Powered-By: ASP.NET
и ответ полезной нагрузки как
{"Message":"Authorization has been denied for this request."}
Это происходит только с браузерами, основанными на IE/Edge, и при этом не существует конкретного сценария. Это происходит случайно при просмотре между страницами.
Что может быть решением для этого?
Обновление: я обнаружил раздел конфигурации в IIS
system.webServer/security/authentication/windowsAuthentication
Там я вижу эти настройки
Могу ли я удалить оба, если я использую анонимную аутентификацию? и мой API будет работать с bearer на основе токена? Пожалуйста, предложите какой-нибудь ответ.