我们在IIS上托管了旧版应用程序，现在我们想添加其他身份验证（使用sms代码）。最简单的方法是什么？

我当前的想法是使用逆向代理：

1. 代理会将所有请求重定向到身份验证应用程序，
2. 身份验证应用程序将检查身份验证cookie，
3. 如果cookie存在并且是有效的身份验证应用程序，则将返回200，
4. 如果cookie不存在或无效，则身份验证应用程序将显示html页面以输入用户登录名，然后显示短信代码，如果用户输入的代码有效，则将设置cookie身份验证，并且应用程序将返回200，
5. 如果短信代码无效，身份验证应用程序将返回401，
6. 如果应用程序返回200代理，则会将用户重定向到主应用程序。

是否可以使用IIS反向代理/应用程序请求路由？还是使用另一个代理（例如nginx）更好？