阻止拦截ASP.NET Web API响应的FormsAuthenticationModule

时间:2012-06-18 17:07:27

标签: asp.net forms-authentication asp.net-mvc-4 asp.net-web-api asp.net-authorization

在ASP.NET中,FormsAuthenticationModule拦截任何HTTP 401,并返回HTTP 302重定向到登录页面。这对AJAX来说很痛苦,因为你要求使用json并在html中获取登录页面,但状态代码是HTTP 200。

在ASP.NET Web API中避免这种拦截的方法是什么?

在ASP.NET MVC4中,通过明确结束连接来防止这种拦截非常容易:

public class MyMvcAuthFilter:AuthorizeAttribute
{
    protected override void HandleUnauthorizedRequest(AuthorizationContext filterContext)
    {
        if (filterContext.HttpContext.Request.IsAjaxRequest() && !filterContext.IsChildAction)
        {
            filterContext.Result = new HttpStatusCodeResult(401);
            filterContext.HttpContext.Response.StatusCode = 401;
            filterContext.HttpContext.Response.SuppressContent = true;
            filterContext.HttpContext.Response.End();
        }
        else
            base.HandleUnauthorizedRequest(filterContext);
    }
}

但是在ASP.NET Web API中我无法显式结束连接,因此即使我使用此代码,FormsAuthenticationModule也会拦截响应并将重定向发送到登录页面:

public class MyWebApiAuth: AuthorizeAttribute
{
    protected override void HandleUnauthorizedRequest(System.Web.Http.Controllers.HttpActionContext actionContext)
    {
        if(actionContext.Request.Headers.Any(h=>h.Key.Equals("X-Requested-With",StringComparison.OrdinalIgnoreCase)))
        {
            var xhr = actionContext.Request.Headers.Single(h => h.Key.Equals("X-Requested-With", StringComparison.OrdinalIgnoreCase)).Value.First();

            if (xhr.Equals("XMLHttpRequest", StringComparison.OrdinalIgnoreCase))
            {
                // this does not work either
                //throw new HttpResponseException(HttpStatusCode.Unauthorized);

                actionContext.Response = new System.Net.Http.HttpResponseMessage(System.Net.HttpStatusCode.Unauthorized);
                return;
            }
        }

        base.HandleUnauthorizedRequest(actionContext);
    }
}

在ASP.NET Web API中避免此行为的方法是什么?我一直在看,我找不到办法。

问候。

PS:我无法相信这是2012年,而且这个问题仍然存在。

3 个答案:

答案 0 :(得分:5)

如果有人有兴趣使用Authorize属性处理ASP.NET MVC应用中的相同问题:

[AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, Inherited = true, AllowMultiple = true)]
public class Authorize2Attribute : AuthorizeAttribute
{
    protected override void HandleUnauthorizedRequest(AuthorizationContext filterContext)
    {
        if (filterContext.HttpContext.Request.IsAuthenticated)
        {
            filterContext.Result = new HttpStatusCodeResult((int) HttpStatusCode.Forbidden);
        }
        else
        {
            if (filterContext.HttpContext.Request.IsAjaxRequest())
            {
                filterContext.HttpContext.Response.SuppressFormsAuthenticationRedirect = true;
            }
            base.HandleUnauthorizedRequest(filterContext);
        }
    }
}

这样浏览器可以正确区分Forbidden和Unauthorized请求..

答案 1 :(得分:4)

MVC 4 RC的发行说明暗示自Beta版以来已经解决了这个问题 - 您使用的是什么?

http://www.asp.net/whitepapers/mvc4-release-notes ASP.NET Web API处理的未经授权的请求返回401 Unauthroized:ASP.NET Web API处理的未经授权的请求现在返回标准的401 Unauthorized响应,而不是将用户代理重定向到登录表单,以便响应可以由一个Ajax客户端。

查看MVC的源代码,似乎有一个功能通过SuppressFormsAuthRedirectModule.cs添加

http://aspnetwebstack.codeplex.com/SourceControl/network/forks/BradWilson/AspNetWebStack/changeset/changes/ae1164a2e339#src%2fSystem.Web.Http.WebHost%2fHttpControllerHandler.cs 

    internal static bool GetEnabled(NameValueCollection appSettings)
    {
            // anything but "false" will return true, which is the default behavior

所以它看起来这是默认启用的,RC应该修复你的问题而没有任何英雄......作为一个侧面点看起来你可以使用AppSettings http://d.hatena.ne.jp/shiba-yan/20120430/1335787815禁用这个新模块:

<appSettings> 
    <Add Key = "webapi:EnableSuppressRedirect"  value = "false" /> 
</appSettings>

编辑(示例和澄清)

我现在已在GitHub上为此方法创建了一个示例。新的重定向抑制要求您使用两个正确的“授权”属性;控制器中的MVC Web [System.Web.Mvc.Authorize]和Web API [System.Web.Http.Authorize]和全局过滤器{/ 3}}中的/或。

然而,这个例子确实提出了该方法的局限性。似乎web.config中的“授权”节点将始终优先于MVC路由,例如像这样的配置将覆盖您的规则并仍然重定向到登录:

<system.web>
    <authentication mode="Forms">
    </authentication>
    <authorization>
        <deny users="?"/> //will deny anonymous users to all routes including WebApi
    </authorization>
</system.web>

遗憾的是,使用Location元素打开一些url路由似乎不起作用,WebApi调用将继续被拦截并重定向到登录。

解决方案

对于MVC应用程序,我只是建议从Web.Config中删除配置,并在代码中坚持使用全局过滤器和属性。

如果你必须使用Web.Config for MVC中的授权节点或者有一个混合ASP.NET和WebApi应用程序,那么@PilotBob - 在下面的评论中 - 发现子文件夹和多个Web.Config可以用来拥有你的蛋糕,吃它。

答案 2 :(得分:2)

通过设置以下属性,我能够绕过web.config中的拒绝匿名设置:

Request.RequestContext.HttpContext.SkipAuthorization = true;

我在对Global.asax.cs中的Application_BeginRequest方法中的Request对象进行一些检查后执行此操作,例如RawURL属性和其他头信息,以确保请求访问我想允许匿名访问的区域。调用API操作后,我仍然执行身份验证/授权。

相关问题
最新问题