Не уверен, что вы проверили эти 2 страницы документации:
Политика авторизации и RequestAuthentication .
Используя Политику авторизации, вы можете РАЗРЕШИТЬ или ОТКАЗАТЬ запрос, но вы не можете определить аутентификацию, поэтому запросы будут приняты или нет, но без учета методов аутентификации.
RequestAuthentication, с другой стороны, будет определять метод аутентификации, который будет использоваться для проверить запрос, но это не ограничивает запросы без аутентификации вообще, поэтому вам понадобится связанное с ним правило авторизации.
Эта фраза в RequestAuthentication do c объясняет это:
Запрос, не содержащий каких-либо учетных данных для аутентификации, будет принят, но не будет иметь никакой аутентифицированной личности. Чтобы ограничить доступ только для аутентифицированных запросов, это должно сопровождаться правилом авторизации .
Таким образом, в своей Политике авторизации вы можете определить политики, разрешающие или запрещающие запрос, и с помощью RequestAuthentication вы можете определить свои методы аутентификации.
Если вы хотите ограничить его аутентификационными запросами, вам понадобятся оба. По сути, лучший подход будет зависеть от вашего варианта использования.