Có an toàn không khi đặt validateIntegratedModeConfiguration = false để tiếp tục sử dụng danh tính impersonate = true?

Chúng tôi đã nâng cấp một ứng dụng web ASP.NET từ IIS6 lên chế độ tích hợp IIS7. Ứng dụng của chúng tôi sử dụng:

<identity impersonate="true"/>

và do đó chúng tôi đã phải thiết lập:

<validation validateIntegratedModeConfiguration="false" />

Điều này có hợp lý không? Bản năng của tôi nói không, nhưng tìm kiếm trên google về vấn đề này, "cách giải quyết" này được đề xuất trên mỗi trang truy cập.

Việc mạo danh không còn là một thông lệ tốt trong IIS7 được tích hợp, và chúng ta có nên từ bỏ nó và đưa ra một giải pháp khác không?

Nếu ứng dụng của bạn yêu cầu xác thực tích hợp trong BeginRequest và AuthenticicateRequest thì bạn nên thay đổi nhóm ứng dụng của mình sang chế độ cổ điển.

Nếu bạn không dựa vào xác thực tích hợp ở hai giai đoạn này của vòng đời trang thì bạn có thể tiếp tục bỏ qua lỗi bạn đang nhận bằng cách đặt validateIntegratedModeConfiguration thành false.

Bạn cũng có tùy chọn sử dụng di chuyển appcmd để di chuyển ứng dụng IIS6 của bạn sang cấu hình chế độ tích hợp IIS7.

Thông tin thêm về hành vi này trong IIS 7 có thể được tìm thấy ở đây: http://www.iis.net/learn/application-frameworks/building-and-rucky-aspnet-appluggest/aspnet-integration-with-iis