我正在创建一个使用 React 构建的应用程序,其中 API 请求将从 http://localhost:3000 发送到 .NET 服务器 https://localhost:5000 。这在禁用 Windows 身份验证时有效,但当使用 IIS 启用 Windows 身份验证时,任何请求都会返回 401 未经授权。
我做了相当多的研究,发现我可以通过使用 { withCredentials: true } 发送 axios 请求来很好地发送 GET 请求。如果我发送 POST 请求,这仍然会从服务器返回 401 未经授权,除非我根据以下规范将内容类型设置为 application/x-www-form-urlencoded,将请求设为“简单请求”: https://developer.mozilla.org/en-US/docs/Web/HTTP/CORS .
当启用 Windows 身份验证时,我需要在 Web 配置中添加一些内容才能使这些请求正常工作吗?
这里对类似问题的回答对我没有帮助:Angular 5: Post-request & windows authentication ,由于同时启用了匿名身份验证和 Windows 身份验证,将导致对服务器的初始 GET 请求无法使用 Windows 身份验证获取 Active Directory 用户名,因为匿名身份验证似乎优先。
我可以发出 POST 请求,并将内容类型设置为 application/x-www-form-urlencoded,但这似乎是错误的方法。有什么方法可以在服务器上设置一些设置,以便在启用 Windows 身份验证时,服务器位于 https://localhost:5000将接受来自 http://localhost:3000 的任何 API 请求内容类型为 JSON?
最佳答案
您需要设置CORS在服务器上。
Here有一些资源如何在 Web API 2 中执行此操作
同时符合 W3C 规范 CORS-preflight request never includes credentials所以你可能需要enable Anonymous for OPTIONS requests in IIS
更新:Windows Auth 与 OPTIONS 请求
由于我最近遇到了同样的问题,这里有一个小更新。
Solution 1 (我最初链接的)-添加 <allow verbs="OPTIONS" users="*"/>真的不行。或者更好地说它“有点有效”,因为它需要在 IIS 中启用匿名身份验证,这是使用 Windows Auth 时您不希望的东西
Solution 2实际上确实有效。关键点是Application_AuthenticateRequest里面的代码。同样重要的是,它仅在使用 integrated pipeline 时才有效。 。它解决了 OPTIONS 请求被 Windows Auth 停止的问题(如果您禁用了匿名身份验证,无论您做什么都会发生这种情况)
一些 MS 员工提到的最后一个解决方案 here和 here就是使用IIS模块(插件)IIS CORS 。这是configuration reference简短但有用introduction .
这样做的明显缺点是它需要安装在每台服务器上,包括您自己的开发机器。显然没有简单的方法将其安装到 IIS Express 中。幸运的是,“混血程序员”创造了set of PowerShell scripts自动化这个。对其进行了测试,它运行得很好 - 只是不要忘记 Visual Studio 创建了主 applicationHost.config 的副本(通常位于 MyDocuments\IISExpress\config\ 文件夹中)在解决方案文件夹 .vs\%projectname%\config 中因此您可能需要为此副本再次运行脚本......
关于javascript - 如何在启用 Windows 身份验证的情况下发送 API 请求?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/59222701/