在ASP.NET Web API中避免这种拦截的方法是什么?
在ASP.NET MVC4中,通过明确结束连接来防止此拦截非常容易:
- public class MyMvcAuthFilter:AuthorizeAttribute
- {
- protected override void HandleUnauthorizedRequest(AuthorizationContext filterContext)
- {
- if (filterContext.HttpContext.Request.IsAjaxRequest() && !filterContext.IsChildAction)
- {
- filterContext.Result = new HttpStatusCodeResult(401);
- filterContext.HttpContext.Response.StatusCode = 401;
- filterContext.HttpContext.Response.SuppressContent = true;
- filterContext.HttpContext.Response.End();
- }
- else
- base.HandleUnauthorizedRequest(filterContext);
- }
- }
但是在ASP.NET Web API中我无法显式地结束连接,因此即使我使用此代码,FormsAuthenticationModule也会拦截响应并将重定向发送到登录页面:
- public class MyWebApiAuth: AuthorizeAttribute
- {
- protected override void HandleUnauthorizedRequest(System.Web.Http.Controllers.HttpActionContext actionContext)
- {
- if(actionContext.Request.Headers.Any(h=>h.Key.Equals("X-Requested-With",StringComparison.OrdinalIgnoreCase)))
- {
- var xhr = actionContext.Request.Headers.Single(h => h.Key.Equals("X-Requested-With",StringComparison.OrdinalIgnoreCase)).Value.First();
- if (xhr.Equals("XMLHttpRequest",StringComparison.OrdinalIgnoreCase))
- {
- // this does not work either
- //throw new HttpResponseException(HttpStatusCode.Unauthorized);
- actionContext.Response = new System.Net.Http.HttpResponseMessage(System.Net.HttpStatusCode.Unauthorized);
- return;
- }
- }
- base.HandleUnauthorizedRequest(actionContext);
- }
- }
在ASP.NET Web API中避免此行为的方法是什么?我一直在看,我找不到办法.
问候.
PS:我不敢相信这是2012年,这个问题仍然存在.
解决方法
http://www.asp.net/whitepapers/mvc4-release-notes
ASP.NET Web API处理的未经授权的请求返回401 Unauthroized:ASP.NET Web API处理的未经授权的请求现在返回标准的401 Unauthorized响应,而不是将用户代理重定向到登录表单,以便Ajax客户端可以处理响应.
查看MVC的源代码,似乎通过SuppressFormsAuthRedirectModule.cs添加了一个功能
- internal static bool GetEnabled(NameValueCollection appSettings)
- {
- // anything but "false" will return true,which is the default behavior
所以它看起来这是默认启用的,RC应该修复你的问题,没有任何英雄……作为一个侧面点看起来你可以使用AppSettings http://d.hatena.ne.jp/shiba-yan/20120430/1335787815禁用这个新模块:
- <appSettings>
- <Add Key = "webapi:EnableSuppressRedirect" value = "false" />
- </appSettings>
编辑(示例和说明)
我现在已经在GitHub上为这种方法创建了一个示例.新的重定向抑制要求您使用两个正确的“授权”属性;控制器中的MVC Web [System.Web.Mvc.Authorize]和Web API [System.Web.Http.Authorize]和全局过滤器Link中的/或OR.
然而,该示例确实提出了该方法的限制.似乎web.config中的“授权”节点将始终优先于MVC路由,例如像这样的配置将覆盖您的规则并仍然重定向到登录:
- <system.web>
- <authentication mode="Forms">
- </authentication>
- <authorization>
- <deny users="?"/> //will deny anonymous users to all routes including WebApi
- </authorization>
- </system.web>
遗憾的是,使用Location元素打开一些url路由似乎不起作用,WebApi调用将继续被拦截并重定向到登录.
解决方案
对于MVC应用程序,我只是建议从Web.Config中删除配置,并在代码中坚持使用全局过滤器和属性.
如果你必须使用Web.Config for MVC中的授权节点或者有一个混合ASP.NET和WebApi应用程序,那么@PilotBob – 在下面的评论中 – 发现子文件夹和多个Web.Config可以用来制作你的蛋糕和吃了它.
