在服务器上向 RpcServerRegisterAuthInfo 函数注册安全提供程序时,将添加身份验证 选项;不是身份验证 要求。 这意味着不会替换以前使用 RpcServerRegisterAuthInfo 的注册。 这也意味着,在仍可以连接之前可以连接的未经身份验证的客户端。
只需调用 RpcServerRegisterAuthInfo 函数就不会禁止未经身份验证的客户端进行连接。 如果他们以前可以连接,他们仍然可以连接;但是函数调用(如 RpcImpersonateClient 和 RpcGetAuthorizationContextForClient)将失败。 因此,当调用 RpcServerRegisterAuthInfo 函数时,潜在的攻击者尚未被清除,而是获得授权的客户端有机会证明其身份。 因此,仍必须进行检查,以确定潜在的攻击者是否正在尝试连接。