asp.net - 防止 FormsAuthenticationModule 拦截 ASP.NET Web API 响应

标签 asp.net forms-authentication asp.net-mvc-4 asp.net-web-api asp.net-authorization

在 ASP.NET 中,FormsAuthenticationModule 拦截任何 HTTP 401,并将 HTTP 302 重定向返回到登录页面。这对 AJAX 来说很痛苦,因为您要求 json 并以 html 格式获取登录页面,但状态代码是 HTTP 200。

在 ASP.NET Web API 中避免这种拦截的方法是什么?

在 ASP.NET MVC4 中,很容易通过显式结束连接来防止这种拦截:

public class MyMvcAuthFilter:AuthorizeAttribute
{
    protected override void HandleUnauthorizedRequest(AuthorizationContext filterContext)
    {
        if (filterContext.HttpContext.Request.IsAjaxRequest() && !filterContext.IsChildAction)
        {
            filterContext.Result = new HttpStatusCodeResult(401);
            filterContext.HttpContext.Response.StatusCode = 401;
            filterContext.HttpContext.Response.SuppressContent = true;
            filterContext.HttpContext.Response.End();
        }
        else
            base.HandleUnauthorizedRequest(filterContext);
    }
}

但在 ASP.NET Web API 中,我无法显式结束连接,因此即使我使用此代码,FormsAuthenticationModule 也会拦截响应并将重定向发送到登录页面:
public class MyWebApiAuth: AuthorizeAttribute
{
    protected override void HandleUnauthorizedRequest(System.Web.Http.Controllers.HttpActionContext actionContext)
    {
        if(actionContext.Request.Headers.Any(h=>h.Key.Equals("X-Requested-With",StringComparison.OrdinalIgnoreCase)))
        {
            var xhr = actionContext.Request.Headers.Single(h => h.Key.Equals("X-Requested-With", StringComparison.OrdinalIgnoreCase)).Value.First();

            if (xhr.Equals("XMLHttpRequest", StringComparison.OrdinalIgnoreCase))
            {
                // this does not work either
                //throw new HttpResponseException(HttpStatusCode.Unauthorized);

                actionContext.Response = new System.Net.Http.HttpResponseMessage(System.Net.HttpStatusCode.Unauthorized);
                return;
            }
        }

        base.HandleUnauthorizedRequest(actionContext);
    }
}

在 ASP.NET Web API 中避免这种行为的方法是什么?我一直在看,我找不到这样做的方法。

问候。

PS:我不敢相信这是 2012 年,这个问题仍然存在。

最佳答案

如果有人有兴趣使用 Authorize 属性处理 ASP.NET MVC 应用程序中的相同问题:

[AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, Inherited = true, AllowMultiple = true)]
public class Authorize2Attribute : AuthorizeAttribute
{
    protected override void HandleUnauthorizedRequest(AuthorizationContext filterContext)
    {
        if (filterContext.HttpContext.Request.IsAuthenticated)
        {
            filterContext.Result = new HttpStatusCodeResult((int) HttpStatusCode.Forbidden);
        }
        else
        {
            if (filterContext.HttpContext.Request.IsAjaxRequest())
            {
                filterContext.HttpContext.Response.SuppressFormsAuthenticationRedirect = true;
            }
            base.HandleUnauthorizedRequest(filterContext);
        }
    }
}

这样浏览器可以正确区分禁止和未经授权的请求。

关于asp.net - 防止 FormsAuthenticationModule 拦截 ASP.NET Web API 响应,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/11087677/

上一篇:r - 在 R 中,检测操作系统是否为 64 位的规范方法是什么?

下一篇:perl - ref($variable) 什么时候返回 'IO' ?

相关文章:

asp.net - 阻止访问者打开某些页面

c# - FormsAuthenticationTicket 过期

c# - 使用参数 MVC Razor 重新加载一页中的部分 View

asp.net - 如何显示特色产品主页 - NopCommerce?

asp.net - ASP.NET Web 应用程序之间的引用

asp.net - 尽管已设置,FormsAuthenticationTicket 的 UserData 属性仍为空

c# - BeginRouteForm 不适用于 API 路由?

c# - Web API 中的单元测试自定义路由

c# - 无法将当前 JSON 数组(例如 [1,2,3])反序列化为类型

c# - System.Uri 类截断尾随 '.' 个字符

©2024 IT工具网  联系我们