¿Por qué PreAuthenticate no está habilitado de manera predeterminada?

Question

Por lo que tengo entendido, WebRequest.PreAuthenticate casi siempre es bueno.

Si lo habilito incluso cuando no hay credencial, no intentará autenticarse, si existe una credencial. Entonces, ¿hay alguna razón legítima para establecerlo Falso? ¿O está bien establecerlo True incluso cuando no hay credenciales?

Y dado que es bastante útil, ¿por qué no está habilitado por defecto al igual que muchas otras características HTTP?

Answer 1

Rick Strahl tiene una publicación de blog muy detallada sobre esto.

En resumen, si necesita poder cambiar las credenciales en la solicitud en algún momento (sin la intervención del servidor), no configure PreAuthenticate como verdadero. De lo contrario, ve por ello.