Umbraco CMS v13.7.0 中启用IIS基础认证导致后台登录500错误分析

在Umbraco CMS v13.7.0版本中，当在IIS服务器上启用基础认证(Basic Authentication)时，用户尝试登录后台管理界面会遇到500服务器错误。这个问题在v13.6.0及之前版本中并不存在，属于v13.7.0引入的回归性问题。

问题现象

当系统管理员将Umbraco CMS从v13.6.0升级到v13.7.0后，如果IIS配置中启用了基础认证，用户在登录后台管理界面时会遇到以下情况：

1. 用户能够正常通过浏览器的基础认证提示框输入凭据
2. 当尝试进入/umbraco后台管理路径时
3. 系统返回500内部服务器错误
4. 禁用IIS基础认证后，问题消失

技术原因分析

通过错误日志可以追踪到问题的根源在于HttpContextExtensions.cs文件中的AuthenticateBackOfficeAsync方法。具体错误表现为：

System.InvalidOperationException: Collection was modified; enumeration operation may not execute.

这种异常通常发生在尝试在枚举集合的同时修改该集合时。在Umbraco v13.7.0中，当IIS基础认证启用时，系统在处理身份验证过程中会同时尝试枚举和修改某个集合，导致并发修改异常。

解决方案

Umbraco开发团队已经确认并修复了这个问题。修复方案包括：

1. 正确处理集合的枚举和修改操作，避免并发修改
2. 确保在基础认证场景下也能正确处理后台登录流程

该修复已包含在v13.7.2版本中。对于遇到此问题的用户，建议采取以下步骤：

1. 立即升级到Umbraco CMS v13.7.2或更高版本
2. 如果暂时无法升级，可以临时禁用IIS基础认证（但这会降低安全性）

最佳实践建议

对于需要在生产环境中使用IIS基础认证的Umbraco管理员，建议：

1. 在升级前总是测试环境验证新版本的所有认证流程
2. 关注Umbraco官方发布说明，了解已知问题和修复
3. 考虑使用更现代的认证方式替代基础认证，如Windows集成认证或OAuth

这个问题提醒我们，即使是小版本升级也可能引入关键功能的回归问题，特别是在涉及安全认证这类核心功能时，充分的测试环境验证至关重要。