具有多个身份验证过滤器的ASP.net Web API 2控制器

这是一个具体的例子.假设我有一个控制器类,如

[BasicAuthenticator]
[LocalAuthenticator]
[Authorize]
public class TestController : ApiController
{
    [AllowAnonymous]
    public IHttpActionResult GetProduct(int id)
    {
    }

    // etc. etc
}

其中BasicAuthenticator和LocalAuthenticator实现IAuthenticationFilter.

每个身份验证者都有机会获得成功.如果成功,则将context.Principal设置为具有适当的ClaimsIdentity(name,type和isAuthenticated = true)的新对象.

如果验证者失败怎么办？我认为它应该什么都不做,以便另一个人有机会获得成功.对？

如果两者都成功怎么办？第二次删除由第一个创建的Principal？将两个Principal对象的ClaimsIdentity集合合并在一起会不会更有意义？

如果验证者失败了,它应该什么都不做,正确吗？因为其他身份验证者可能会成功.拥有两个身份验证器的语义是,如果任何一个成功,该操作将运行,正确吗？

我认为Authorize类将查看委托人中的所有ClaimsIdentity,如果任何ClaimsIdentity具有“isAuthenticated = true”,那么它将允许控制器操作运行.否则,它将设置status = 401.这似乎是它的工作原理.这是正确的吗？

[AllowAnonymous]的目的是禁用所有其他授权过滤器,对吗？控制器(或操作方法)使用[AllowAnonymous]进行修饰,然后我假设它应该始终运行,即使身份验证失败也是如此.那是对的吗？