c# - 在 IdentityServer3 中处理 CORS 之前发送的飞行前 OPTIONS 请求

Question

我们目前正在与一个团队合作开发两种不同的 RestAPI。一个是我们的主系统，另一个只是一个注册了 IdentityServer 的空主机。我们已经成功配置CORS和飞行前OPTIONS在主应用程序中处理，但现在我们正在努力处理 OPTIONS在 IdentityServer 中(CORS 已启用并正常工作)。不幸的是，我们有一些 token 请求中需要的特定 header ，并且浏览器正在发送飞行前 OPTIONS要求。每次我们这样做，我们都会得到:

The requested resource does not support HTTP method 'OPTIONS'.

在我们的 RestAPI 应用程序管道中，我们只需创建 DelegatingHandler :

public class OptionsHttpMessageHandler : DelegatingHandler
{
    protected override Task<HttpResponseMessage> SendAsync(
        HttpRequestMessage request,
        CancellationToken cancellationToken)
    {
        if (request.Method == HttpMethod.Options)
        {
            var apiExplorer = GlobalConfiguration.Configuration.Services.GetApiExplorer();

            var controllerRequested = request.GetRouteData().Values["controller"] as string;
            var supportedMethods = apiExplorer.ApiDescriptions
                .Where(d =>
                    {
                        var controller = d.ActionDescriptor.ControllerDescriptor.ControllerName;
                        return string.Equals(
                            controller, controllerRequested, StringComparison.OrdinalIgnoreCase);
                    })
                .Select(d => d.HttpMethod.Method)
                .Distinct();

            if (!supportedMethods.Any())
            {
                return Task.Factory.StartNew(
                    () => request.CreateResponse(HttpStatusCode.NotFound));
            }

            return Task.Factory.StartNew(() =>
            {
                var response = new HttpResponseMessage(HttpStatusCode.OK);

                return response;
            });
        }

        return base.SendAsync(request, cancellationToken);
    }
}

并在Global.asax中注册:

GlobalConfiguration.Configuration.MessageHandlers.Add(new OptionsHttpMessageHandler());

我不知道如何在 IdentityServer 管道中注册它。下面是 Owin Startup 类的简化实现:

[assembly: OwinStartup(typeof(MyNamespace.IdentityServer.Host.Startup))]
namespace MyNamespace.IdentityServer.Host
{
    public class Startup
    {
        public void Configuration(IAppBuilder app)
        {
            var identityServerServiceFactory = new IdentityServerServiceFactory()
                .UseInMemoryScopes(Scopes.Get())
                .UseInMemoryClients(Clients.Get());

            identityServerServiceFactory.UserService = new Registration<IUserService>(resolver => UserServiceFactory.Create());

            app.Map("/identity", idsrvApp =>
            {
                idsrvApp.UseIdentityServer(new IdentityServerOptions
                {
                    SiteName = "MyNamespace.IdentityServer",
                    SigningCertificate = this.LoadCertificate(),
                    Factory = identityServerServiceFactory
                });
            });
        }
    }
}

到目前为止已尝试:

1. 在 <handlers> 中设置一些 ISS 处理程序web.config 中的部分

   • How to support HTTP OPTIONS verb in ASP.NET MVC/WebAPI application
   • IIS hijacks CORS Preflight OPTIONS request
   • 还有很多，都是关于这种方法的

2. 我不记得我在哪里找到这个解决方案，但有人建议执行以下操作:

   • 在 IdentityServer 之前注册主机 API
   • 创建一个 Controller ，路由设置为我们想要劫持 OPTIONS 请求的地址(在我的例子中是 /identity/connect/token)
   • 添加[HttpOptions]标记的操作，返回 200, OK
     
     

   ...但不幸的是，正如我所料，我的新 Controller 劫持了所有到 IdentityServer 的流量，而不仅仅是 OPTIONS请求。

更新 - 忘记提及第三个选项

1. 我想出了一个有效的解决方案(我的意思是几乎是因为我还没有完成)。这很简单，但我宁愿避免这种方法，因为它会增加额外的工作量，并且随后还会增加代码维护。这个想法是简单地包装 IdentityServer's在我们自己的端点中标记端点，以便 AJAX 仅调用我们的 RestAPI。而且，正如我之前所说，我们的主机已经设置为 CORS和飞行前OPTIONS

Answer 1

我已经设法克服了这个问题。 我希望这只是临时解决方案，因为它既不优雅也不安全(我认为它可能为某种攻击开辟了道路，但我是安全方面的初学者)。

我仍在等待更好的解决方案，我愿意更改已接受的答案。

该解决方案由 Chtiwi Malek 在另一个 SO question 中提出，我也在我的问题中提供了(我的错，我没有检查所有的答案)。

我们所要做的就是在每个请求的开头处理OPTIONS

protected void Application_BeginRequest()
{
    var res = HttpContext.Current.Response;
    var req = HttpContext.Current.Request;
    res.AppendHeader("Access-Control-Allow-Origin", "*");
    res.AppendHeader("Access-Control-Allow-Credentials", "true");
    res.AppendHeader("Access-Control-Allow-Headers", "Content-Type, X-CSRF-Token, X-Requested-With, Accept, Accept-Version, Content-Length, Content-MD5, Date, X-Api-Version, X-File-Name");
    res.AppendHeader("Access-Control-Allow-Methods", "POST,GET,PUT,PATCH,DELETE,OPTIONS");

    if (req.HttpMethod == "OPTIONS")
    {
        res.StatusCode = 200;
        res.End();
    }
}

(我从 Chtiwi Malek 的 答案中复制了 AppendHeader，但这些是在我的 web.config 中处理的)

我们还必须在 web.config 中为我们的应用程序启用 OPTIONS 请求

<handlers>
  <remove name="ExtensionlessUrlHandler-ISAPI-4.0_32bit" />
  <remove name="ExtensionlessUrlHandler-ISAPI-4.0_64bit" />
  <remove name="ExtensionlessUrlHandler-Integrated-4.0" />
  <add name="ExtensionlessUrlHandler-ISAPI-4.0_32bit" path="*." verb="GET,HEAD,POST,DEBUG,PUT,DELETE,PATCH,OPTIONS" modules="IsapiModule" scriptProcessor="%windir%\Microsoft.NET\Framework\v4.0.30319\aspnet_isapi.dll" preCondition="classicMode,runtimeVersionv4.0,bitness32" responseBufferLimit="0" />
  <add name="ExtensionlessUrlHandler-ISAPI-4.0_64bit" path="*." verb="GET,HEAD,POST,DEBUG,PUT,DELETE,PATCH,OPTIONS" modules="IsapiModule" scriptProcessor="%windir%\Microsoft.NET\Framework64\v4.0.30319\aspnet_isapi.dll" preCondition="classicMode,runtimeVersionv4.0,bitness64" responseBufferLimit="0" />
  <add name="ExtensionlessUrlHandler-Integrated-4.0" path="*." verb="GET,HEAD,POST,DEBUG,PUT,DELETE,PATCH,OPTIONS" type="System.Web.Handlers.TransferRequestHandler" preCondition="integratedMode,runtimeVersionv4.0" />
</handlers>