Vogliamo implementare una funzionalità simile a IIS nel modo in cui ricorda i nomi utente e le password configurati dall'utente. A quanto ho capito, quando si configura IIS per utilizzare un set di credenziali per un'identità del pool di applicazioni ed eseguito nel contesto di tale identità utilizzando tali credenziali (nome utente e password), memorizza anche le credenziali in modo che al riavvio della macchina, non è necessario riconfigurarlo manualmente per continuare a utilizzare le stesse credenziali.
Tuttavia, poiché le credenziali sono persistenti, ciò significa che qualsiasi utente che può accedere alla memoria persistente (sia esso il file system o qualche altra forma di archiviazione) potrebbe potenzialmente estrarre il nome utente e la password. È un problema di sicurezza? In che modo IIS risolve questo problema? Se ha salvato solo un token, che risulterebbe dal nome utente e dalla password per l'autenticazione, non funzionerebbe perché verrebbe estratto anche il token e usato.