嘿，咱们一个一个来解决你的问题：

问题1：我的凭据存储在何处？ #

你这里用的是Windows身份验证（NTLM + Negotiate），这类凭据的存储完全由Windows系统管理，你的Web应用本身不会存储用户凭据。具体分两种场景：

• 本地用户（非域环境）：凭据存储在本地机器的**安全账户管理器（SAM）**数据库中，路径为C:\Windows\System32\config\SAM（这个文件受系统严格保护，无法直接访问）。
• 域环境用户：凭据存储在域控制器的**Active Directory（AD）**内，由域控制器的KDC（密钥分发中心）负责管理Kerberos票证，同时也存储NTLM哈希值。
  另外，用户的浏览器会临时缓存验证凭据，方便后续请求自动复用，避免重复输入密码。

问题2：Web应用无法注销账户的解决方案 #

首先得明确：NTLM和Kerberos这类Windows身份验证机制，本身没有原生的“注销”逻辑——浏览器会自动保存你的Windows凭据，后续请求会自动发送，常规的清除Session/Cookie操作根本无效。结合你的HttpSys配置，这里有几个可行的解决办法：

方法1：让用户手动关闭浏览器 #

Windows身份验证的凭据和浏览器进程绑定，关闭整个浏览器（不是单个标签页）后，缓存的凭据会被释放，再次打开访问应用时就需要重新验证身份。这是最可靠的方案之一。

方法2：返回401 Unauthorized响应触发重新验证 #

你可以添加一个注销接口或页面，当用户点击注销时，返回401 Unauthorized状态码并设置对应响应头，强制浏览器要求用户重新验证身份（注意：这不是真正意义上的“注销”，但能让当前会话失效）。

示例控制器代码：

public IActionResult Logout()
{
    Response.StatusCode = 401;
    Response.Headers["WWW-Authenticate"] = "Negotiate, NTLM";
    return Content("已注销，请重新登录");
}

方法3：针对特定浏览器清除缓存 #

如果你的用户主要使用IE或旧版Edge，可以在注销页面加入JavaScript代码，调用浏览器内置方法清除身份验证缓存：

document.execCommand('ClearAuthenticationCache');
window.location.href = "/";

不过这个方法只对IE、旧版Edge有效，Chrome、Firefox等浏览器不支持该命令，适用性有限。

额外说明 #

因为你用HttpSys直接处理身份验证（而非ASP.NET Core中间件），应用层面无法直接干预Windows身份验证的会话生命周期，所以上面的方案都是绕开系统限制的可行思路。如果你的应用需要更灵活的注销逻辑，可能需要考虑结合表单身份验证等其他方案，但这会改变整体验证架构。

内容的提问来源于stack exchange，提问作者Bassie