есть тип такой win auth (в настройках проекта). Если его включить то тогда легко получаешь юзера залогиненого в винде User.Identity.Name. Причем есть гарантия что это не поддельный юзер (я так думаю что есть). Но если отключить то этой инфы нет. А можно получить?
Есть похожее обсуждение на такую тему
https://stackoverflow.com/questions/22984995/get-windows-login-name-without-windows-authentication

там говорится что по идее это угроза безопасности - простое получение на сервере логина винды ЛЮБОГО клиента. В принципе согласен. Ну а как тогда работает механизм получения этих данных при win auth? или это черный ящик для программиста? можно вроде как спросить у юзер логин пароль и проверить подключившись к AD - НО! во первых ему их придется вводить (а при win auth не надо вводить, сразу все доступно). А во вторых по идее с фига ли юзер должен на сервер слать свои логин пароль? он конечно глупый и пошлет, но это не гуд.