c# - 在 AngularJS/WebApi 应用程序中使用 Windows 身份验证的 CORS 问题 - 仅适用于 IE

Question

我有一个带有 AngularJS 前端和 ASP.NET Web API 后端的 Intranet 应用程序，它们是在同一服务器上的 IIS 上运行的独立 Web 应用程序。 Web API 与 UI 项目不在同一个项目中的原因是因为它将与其他 Intranet 应用程序共享。

我需要提供一些安全功能。我需要知道每个用户是谁，并根据该用户是谁以及该用户所属的 Angular 色(Windows 组)来限制可以执行的操作。我在两个应用程序中都启用了 Windows 身份验证，并且通过将以下内容放入两个部分的 web.config 中来完成此操作:

    <authentication mode="Windows" />
    <authorization>
        <deny users="?" />
    </authorization>

我还没有对授权做任何事情，因为我注意到虽然我可以使用 Chrome 或 Internet Explorer 浏览网站，但除非使用 IE，否则我无法访问 Web API 项目。在 Chrome 中，我运行了开发者工具，我看到了这个:

加载资源失败:服务器响应状态为 401(未授权)

XMLHttpRequest 无法加载 http://localhost:62415/api/CustomerGroups .请求的资源上不存在“Access-Control-Allow-Origin” header 。产地' http://localhost:50900 ' 因此不允许访问。响应具有 HTTP 状态代码 401。

我在我的代码中启用了 CORS，但在使用 Chrome 时似乎没有什么不同。但是，我可以访问 API URL 并取回数据。

我做了一些研究，并在我的 Web API 项目中添加了一个 Startup 类:

using Microsoft.Owin;
using Microsoft.Owin.Cors;
using Owin;
using System.Web.Http;

[assembly: OwinStartup(typeof(WebApi.Startup))]
namespace WebApi
{
    public class Startup
    {
        public void Configuration(IAppBuilder app)
        {
            var config = new HttpConfiguration();

            WebApiConfig.Register(config);
            app.UseCors(CorsOptions.AllowAll);
            app.UseWebApi(config);
        }
    }
}

我的 Global.asax.cs 中确实有这段代码，但显然不需要它，因为我正在使用 Startup 类，它是否存在都没有关系:

    protected void Application_BeginRequest(object sender, EventArgs e)
    {
        if ((Context.Request.Path.Contains("api/") || Context.Request.Path.Contains("odata/")) && Context.Request.HttpMethod == "OPTIONS")
        {
            Context.Response.AddHeader("Access-Control-Allow-Origin", Context.Request.Headers["Origin"]);
            Context.Response.AddHeader("Access-Control-Allow-Headers", "Origin, X-Requested-With, Content-Type, Accept");
            Context.Response.AddHeader("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE, OPTIONS");
            Context.Response.AddHeader("Access-Control-Allow-Credentials", "true");
        }
    }

我需要做什么才能让它与其他 IE 浏览器一起使用？

我知道其余的安全问题会很复杂，但我需要先克服这个障碍。

Answer 1

3 个可能对您有帮助的链接 - https://msdn.microsoft.com/en-us/magazine/dn532203.aspx

http://www.asp.net/web-api/overview/security/enabling-cross-origin-requests-in-web-api

http://www.asp.net/mvc/overview/releases/how-to-upgrade-an-aspnet-mvc-4-and-web-api-project-to-aspnet-mvc-5-and-web-api-2