防止FormsAuthenticationModule拦截ASP.NET Web API响应

Question

防止FormsAuthenticationModule拦截ASP.NET Web API响应

asp.netforms-authenticationasp.net-mvc-4asp.net-web-apiasp.net-authorization

11

在ASP.NET中，FormsAuthenticationModule会拦截任何HTTP 401请求，并返回一个HTTP 302重定向到登录页面。这对于AJAX来说很麻烦，因为你请求JSON，但是得到的是HTML格式的登录页面，但状态码却是HTTP 200。

在ASP.NET Web API中避免此拦截的方式是什么？

在ASP.NET MVC4中，通过显式地结束连接来很容易地防止此拦截：

public class MyMvcAuthFilter:AuthorizeAttribute
{
    protected override void HandleUnauthorizedRequest(AuthorizationContext filterContext)
    {
        if (filterContext.HttpContext.Request.IsAjaxRequest() && !filterContext.IsChildAction)
        {
            filterContext.Result = new HttpStatusCodeResult(401);
            filterContext.HttpContext.Response.StatusCode = 401;
            filterContext.HttpContext.Response.SuppressContent = true;
            filterContext.HttpContext.Response.End();
        }
        else
            base.HandleUnauthorizedRequest(filterContext);
    }
}

但是在ASP.NET Web API中，我无法显式地结束连接，所以即使我使用此代码，FormsAuthenticationModule也会拦截响应并发送重定向到登录页面：

public class MyWebApiAuth: AuthorizeAttribute
{
    protected override void HandleUnauthorizedRequest(System.Web.Http.Controllers.HttpActionContext actionContext)
    {
        if(actionContext.Request.Headers.Any(h=>h.Key.Equals("X-Requested-With",StringComparison.OrdinalIgnoreCase)))
        {
            var xhr = actionContext.Request.Headers.Single(h => h.Key.Equals("X-Requested-With", StringComparison.OrdinalIgnoreCase)).Value.First();

            if (xhr.Equals("XMLHttpRequest", StringComparison.OrdinalIgnoreCase))
            {
                // this does not work either
                //throw new HttpResponseException(HttpStatusCode.Unauthorized);

                actionContext.Response = new System.Net.Http.HttpResponseMessage(System.Net.HttpStatusCode.Unauthorized);
                return;
            }
        }

        base.HandleUnauthorizedRequest(actionContext);
    }
}

在ASP.NET Web API中避免这种行为的方法是什么？我已经搜索过了，但没有找到方法。

谢谢。

附言：我无法相信这是2012年，这个问题仍然存在。

- vtortola

2

对于其他人寻找的话，可以尝试这个链接：http://blog.craigtp.co.uk/post/OWIN-Hosted-Web-API-in-an-MVC-Project - Sentinel

@Sentinel发布的链接解决了我的问题...谢谢！ - Rosdi Kasim

3个回答

4

MVC 4 RC 的版本说明中提到，这个问题从 Beta 版本中解决了 - 你用的是哪个版本？未授权访问由 ASP.NET Web API 处理时返回 401 未经授权：由 ASP.NET Web API 处理的未授权请求现在返回标准的 401 未经授权响应，而不是将用户代理重定向到登录表单，以便可以通过 Ajax 客户端处理响应。在查看 MVC 源代码时，似乎通过 SuppressFormsAuthRedirectModule.cs 添加了一个功能。请参见链接：http://aspnetwebstack.codeplex.com/SourceControl/network/forks/BradWilson/AspNetWebStack/changeset/changes/ae1164a2e339#src%2fSystem.Web.Http.WebHost%2fHttpControllerHandler.cs。

    internal static bool GetEnabled(NameValueCollection appSettings)
    {
            // anything but "false" will return true, which is the default behavior

因此，看起来这是默认启用的，RC应该在不需要任何英雄主义的情况下解决您的问题......而且，顺便说一句，似乎您可以使用AppSettings禁用此新模块http://d.hatena.ne.jp/shiba-yan/20120430/1335787815：

<appSettings> 
    <Add Key = "webapi:EnableSuppressRedirect"  value = "false" /> 
</appSettings>

编辑（示例和澄清）

现在我已经在GitHub上为这种方法创建了一个示例。新的重定向抑制要求您在控制器中使用两个正确的“Authorize”属性; MVC Web [System.Web.Mvc.Authorize] 和 Web API [System.Web.Http.Authorize]，并且在全局筛选器中使用链接。

但是，该示例也提出了一种方法的局限性。似乎web.config中的“授权”节点将始终优先于MVC路由，例如像这样的配置将覆盖您的规则并仍将重定向到登录页面：

<system.web>
    <authentication mode="Forms">
    </authentication>
    <authorization>
        <deny users="?"/> //will deny anonymous users to all routes including WebApi
    </authorization>
</system.web>

遗憾的是，使用Location元素打开某些url路由似乎不起作用，WebApi调用将继续被拦截并重定向到登录页面。

解决方案

对于MVC应用程序，我建议从Web.Config中删除配置,并在代码中使用全局过滤器和属性。

如果您必须为MVC或混合ASP.NET和WebApi应用程序使用Web.Config中的授权节点，则可以使用子文件夹和多个Web.Config来实现您的需求。

- Mark Jones

1

@NullOrEmpty 好的，我正在使用 Ninject 的 RC 版本（由于在 RC 早期我遇到了 Autofac 的问题而进行了更改）。这个链接描述了与我的方法完全相同的方法，应该可以正常工作 http://www.strathweb.com/2012/05/using-ninject-with-the-latest-asp-net-web-api-source/。 - Mark Jones

我正在使用RC和表单身份验证，但似乎仍然将请求发送到我的登录屏幕。我尝试在web.config中允许未经身份验证的API路径，但这似乎没有帮助。 - PilotBob

@PilotBob 我这个周末会再次确认，但我想到一个问题——你是否在正确使用 Authorise 属性呢？https://dev59.com/42kx5IYBdhLWcg3wCP6Y#9484119 - Mark Jones

@PilotBob - 真的有点糟糕。我可能需要深入了解源代码，并查看http控制器链中正在发生什么。这可能是一个合法的bug/增强功能... - Mark Jones

2

@MarkJones，我找到了一个解决方法。幸运的是，我的所有.aspx表单都在子文件夹中。所以，我只需为每个添加一个web.config，并拒绝匿名访问。我可能会在这个周末写一篇博客介绍它。 - PilotBob

显示剩余6条评论

3

我能够通过设置以下属性来绕过web.config中的匿名拒绝设置：

Request.RequestContext.HttpContext.SkipAuthorization = true;

在Global.asax.cs文件的Application_BeginRequest方法中，我对请求对象进行了一些检查，如RawURL属性和其他头信息，以确保该请求正在访问我想要允许匿名访问的区域。一旦调用API动作，我仍然执行身份验证/授权。

- dgstack0

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接

- Ostati · Accepted Answer

如果有人想在使用Authorize属性的ASP.NET MVC应用程序中处理相同的问题：

[AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, Inherited = true, AllowMultiple = true)]
public class Authorize2Attribute : AuthorizeAttribute
{
    protected override void HandleUnauthorizedRequest(AuthorizationContext filterContext)
    {
        if (filterContext.HttpContext.Request.IsAuthenticated)
        {
            filterContext.Result = new HttpStatusCodeResult((int) HttpStatusCode.Forbidden);
        }
        else
        {
            if (filterContext.HttpContext.Request.IsAjaxRequest())
            {
                filterContext.HttpContext.Response.SuppressFormsAuthenticationRedirect = true;
            }
            base.HandleUnauthorizedRequest(filterContext);
        }
    }
}

这样可以使浏览器正确区分“Forbidden”和“Unauthorized”的请求。