jquery - ajax 请求中出现未经授权的结果

Question

我有一个具有许多ajax操作的应用程序(使用JQuery.ajax实现)，它返回JSON或html。其中一些应该只能由授权用户访问，我用 [Authorize] 属性装饰它们。对于非 ajax 操作，如果用户未经授权 - 系统会将其重定向到登录页面(在 web.config 中配置)。

但这不适用于ajax操作，因为如果用户被授权 - 他加载页面，在cookie过期之后他没有被授权，而不是html block ，应该替换旧的，他在 block 内获取我的登录页面。

我知道我可以手动解决这个问题，例如删除[Authorize]属性，并返回特殊的json/空html，如果用户没有授权。但我不喜欢这个解决方案，因为我需要重写所有的 Action 和ajax函数。我想要全局解决方案，允许我不重写我的操作(可能是自定义授权属性，或一些 http 未经授权的结果自定义处理)。

如果请求是ajax，我想返回状态代码，如果请求不是ajax，我想重定向到登录页面。

Answer 1

将 Application_EndRequest 处理程序添加到 global.asax.cs 中的代码中，将 AJAX 请求的任何 302 错误(重定向到登录页面)修改为 401(未经授权)错误。这将允许您简单地保留 Controller 操作不变并通过客户端处理重定向(如果用户当前没有登录，您实际上只能让用户再次登录)。

protected void Application_EndRequest()
{
    // Any AJAX request that ends in a redirect should get mapped to an unauthorized request
    // since it should only happen when the request is not authorized and gets automatically
    // redirected to the login page.
    var context = new HttpContextWrapper( Context );
    if (context.Response.StatusCode == 302 && context.Request.IsAjaxRequest())
    {
        context.Response.Clear();
        Context.Response.StatusCode = 401;
    }
}

然后在您的 _Layout.cshtml 文件中添加一个全局 AJAX 错误处理程序，该处理程序在收到 401 响应时重定向到您的登录操作。

<script type="text/javascript">
    $(function () {
        $(document).ajaxError(function (e, xhr, settings) {
            if (xhr.status == 401) {
                location = '@Url.Action( "login", "account" )';
            }
        });
    });
</script>

您可能还想尝试 Phil Haack 的博客 Prevent Forms Authentication Login Page Redirect When You Don’t Want It 中概述的一些技术。