阻止拦截ASP.NET Web API响应的FormsAuthenticationModule
|
在ASP.NET中,FormsAuthenticationModule拦截任何HTTP 401,并返回HTTP 302重定向到登录页面.这对AJAX来说很痛苦,因为你要求json并以html获取登录页面,但状态代码是HTTP 200.
在ASP.NET Web API中避免这种拦截的方法是什么? 在ASP.NET MVC4中,通过明确结束连接来防止此拦截非常容易: public class MyMvcAuthFilter:AuthorizeAttribute
{
protected override void HandleUnauthorizedRequest(AuthorizationContext filterContext)
{
if (filterContext.HttpContext.Request.IsAjaxRequest() && !filterContext.IsChildAction)
{
filterContext.Result = new HttpStatusCodeResult(401);
filterContext.HttpContext.Response.StatusCode = 401;
filterContext.HttpContext.Response.SuppressContent = true;
filterContext.HttpContext.Response.End();
}
else
base.HandleUnauthorizedRequest(filterContext);
}
}
但是在ASP.NET Web API中我无法显式地结束连接,因此即使我使用此代码,FormsAuthenticationModule也会拦截响应并将重定向发送到登录页面: public class MyWebApiAuth: AuthorizeAttribute
{
protected override void HandleUnauthorizedRequest(System.Web.Http.Controllers.HttpActionContext actionContext)
{
if(actionContext.Request.Headers.Any(h=>h.Key.Equals("X-Requested-With",StringComparison.OrdinalIgnoreCase)))
{
var xhr = actionContext.Request.Headers.Single(h => h.Key.Equals("X-Requested-With",StringComparison.OrdinalIgnoreCase)).Value.First();
if (xhr.Equals("XMLHttpRequest",StringComparison.OrdinalIgnoreCase))
{
// this does not work either
//throw new HttpResponseException(HttpStatusCode.Unauthorized);
actionContext.Response = new System.Net.Http.HttpResponseMessage(System.Net.HttpStatusCode.Unauthorized);
return;
}
}
base.HandleUnauthorizedRequest(actionContext);
}
}
在ASP.NET Web API中避免此行为的方法是什么?我一直在看,我找不到办法. 问候. PS:我不敢相信这是2012年,这个问题仍然存在. 解决方法
MVC 4 RC的发行说明意味着自Beta以来已经解决了这个问题 – 您使用的是什么?
http://www.asp.net/whitepapers/mvc4-release-notes 查看MVC的源代码,似乎通过SuppressFormsAuthRedirectModule.cs添加了一个功能 http://aspnetwebstack.codeplex.com/SourceControl/network/forks/BradWilson/AspNetWebStack/changeset/changes/ae1164a2e339#src%2fSystem.Web.Http.WebHost%2fHttpControllerHandler.cs. internal static bool GetEnabled(NameValueCollection appSettings)
{
// anything but "false" will return true,which is the default behavior
所以它看起来这是默认启用的,RC应该修复你的问题,没有任何英雄……作为一个侧面点看起来你可以使用AppSettings http://d.hatena.ne.jp/shiba-yan/20120430/1335787815禁用这个新模块: <appSettings>
<Add Key = "webapi:EnableSuppressRedirect" value = "false" />
</appSettings>
编辑(示例和说明) 我现在已经在GitHub上为这种方法创建了一个示例.新的重定向抑制要求您使用两个正确的“授权”属性;控制器中的MVC Web [System.Web.Mvc.Authorize]和Web API [System.Web.Http.Authorize]和全局过滤器Link中的/或OR. 然而,该示例确实提出了该方法的限制.似乎web.config中的“授权”节点将始终优先于MVC路由,例如像这样的配置将覆盖您的规则并仍然重定向到登录: <system.web>
<authentication mode="Forms">
</authentication>
<authorization>
<deny users="?"/> //will deny anonymous users to all routes including WebApi
</authorization>
</system.web>
遗憾的是,使用Location元素打开一些url路由似乎不起作用,WebApi调用将继续被拦截并重定向到登录. 解决方案 对于MVC应用程序,我只是建议从Web.Config中删除配置,并在代码中坚持使用全局过滤器和属性. 如果你必须使用Web.Config for MVC中的授权节点或者有一个混合ASP.NET和WebApi应用程序,那么@PilotBob – 在下面的评论中 – 发现子文件夹和多个Web.Config可以用来制作你的蛋糕和吃了它. (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
- asp.net-mvc – 在需要时在CQRS中提供同步行为?
- 如果在BackgroundWorker运行过程中关闭窗体…
- asp.net-mvc – 使用partialview时,HttpPostedFileBase始终
- ASP.NET MVC Controller FileContent ActionResult通过AJAX
- asp.net-mvc – 如何在ASP.NET MVC中维护Html.CheckBox()的
- 如何在OWIN asp.net Web API启动时获取根URL
- asp.net – 如何从FormCollection中获取复选框值?
- 在Classic ASP中从ADODB调用参数化Oracle查询
- asp.net-mvc-3 – 在ASP.NET MVC3中混合基本身份验证和表单
- asp.net-mvc – 如何通过MVC Azure AD身份验证从AD获取角色
- asp.net-web-api – 从asp.net web api定制odata
- asp.net-mvc – Web项目需要使用Razor语法3.0.0.
- asp.net-mvc – ASP MVC友好的URL和相对路径图像
- asp.net – 在离开Gridview页面后维护GridView当
- asp.net-mvc – 在ASP.NET MVC中保护ViewModel
- asp.net-mvc – 如何在IIS 5.1上部署MVC App?
- asp.net – 断开应用程序开发的方法
- asp.net-mvc – 使用MVC和WebAPI避免使用Resharp
- 快速开发之代码生成器(asp.net mvc4 + easyui +
- asp.net – WebAPI在控制器上找不到任何操作