看起来你在ASP.NET MVC项目里调用Web API时碰到了401未授权的坑，我结合你的代码片段，梳理几个最可能遗漏的关键点：

1. 身份验证类型不匹配 #

你当前用的是NetworkCredential，这主要是为**Windows身份验证（NTLM/Kerberos）**设计的，但如果你的Web API用的是Basic认证、JWT Token或者其他OAuth类认证，这种方式就完全不适用了。

• 如果是Basic认证，需要手动构造Authorization请求头：

  var username = Utilities.Utility.Username();
  var password = Utilities.Utility.Password();
  var authToken = Convert.ToBase64String(Encoding.ASCII.GetBytes($"{username}:{password}"));
  
  using (var client = new HttpClient())
  {
      client.DefaultRequestHeaders.Authorization = new AuthenticationHeaderValue("Basic", authToken);
      // 后续请求逻辑...
  }
  

• 如果是JWT认证，你需要先从认证服务器获取Token，再在请求头里带上Bearer {token}。

2. 未开启预认证 #

默认情况下，HttpClientHandler不会在第一次请求就发送凭证，可能导致服务器先返回401，客户端重试时才带上凭证。你可以开启PreAuthenticate属性来避免这个问题：

var handler = new HttpClientHandler {
    Credentials = credentials,
    PreAuthenticate = true // 关键：让请求一开始就携带凭证
};

3. Windows身份验证的双跳问题（跨服务器场景） #

如果你的MVC应用和Web API部署在不同服务器，用Windows身份验证时很可能遇到Kerberos双跳限制——简单说就是MVC应用拿到的用户凭证，无法再转发给Web API使用。

解决办法：

• 配置Kerberos约束委派（需要域环境支持）；
• 改用Basic、Token等不需要凭证转发的认证方式；
• 如果安全允许，给Web API的目标接口开启匿名访问。

4. 凭证本身是否正确 #

先排除最基础的问题：检查Utilities.Utility.Username()和Utilities.Utility.Password()返回的内容是否准确——有没有拼写错误、大小写问题，或者密码包含特殊字符导致的编码异常？可以临时硬编码一组确定正确的账号密码测试，确认不是凭证本身的问题。

5. CORS配置未允许凭证 #

如果MVC应用和Web API是跨域的，Web API的CORS策略必须明确允许携带凭证。在Web API的Startup.cs里要确保配置了AllowCredentials()：

app.UseCors(options => options
    .WithOrigins("http://你的MVC应用域名") // 不要用*，必须指定具体Origin
    .AllowAnyMethod()
    .AllowAnyHeader()
    .AllowCredentials() // 关键：允许携带凭证
);

6. Web API的授权规则检查 #

最后确认Web API的目标控制器/方法上的[Authorize]属性是否有额外限制——比如是否指定了角色（[Authorize(Roles = "Admin")]），而你的用户并不属于该角色？

内容的提问来源于stack exchange，提问作者Falcon