Queremos implementar una función similar a IIS en la forma en que recuerda los nombres de usuario y las contraseñas configuradas por el usuario. Como lo entiendo, cuando configura IIS para usar un conjunto de credenciales para una identidad de grupo de aplicaciones y se ejecuta en el contexto de esa identidad usando esas credenciales (nombre de usuario y contraseña), también almacena las credenciales para que cuando la máquina se reinicia, no es necesario que lo vuelva a configurar manualmente para que continúe usando las mismas credenciales.
Sin embargo, dado que las credenciales son persistentes, esto significa que cualquier usuario que pueda acceder al almacenamiento persistente (ya sea el sistema de archivos o alguna otra forma de almacenamiento) podría extraer el nombre de usuario y la contraseña. ¿Es este un problema de seguridad? ¿Cómo resuelve IIS este problema? Si solo guardara un token, que resultaría del nombre de usuario y la contraseña para la autenticación, no funcionaría porque también se extraería el token y se usaría.