在asp.net Web Api中处理未经身份validation的请求的最佳方法

我有一个带有Web Api 2的标准VS2013 MVC5项目。 标准项目的设计方式,如果请求未经过身份validation, [Authorize]属性只返回401状态代码,而完全独立的模块会嗅探任何401代码,暂停它们,而是将302重定向发送到登录页面在Startup.Auth.cs文件中指定。 这对于Mvc控制器来说没问题,但是对于Web Api控制器来说真的很糟糕,因为例如浏览器会自动将ajax请求重定向到登录URL,所以即使响应文本只是登录页面的html,你最终也会得到200OK状态。

这使得编写良好的javascript变得很困难,可以区分您只需要告诉用户重新登录的情况与其他类型的错误。 理想情况下,我们应该能够根据状态代码判断,但javascript永远不会看到401状态。 处理这个问题的最佳方法是什么?

我的第一个想法是写一个授权属性,但使用状态代码403而不是401: 

 public class ApiAuthorizationAttribute : System.Web.Http.AuthorizeAttribute { public override void OnAuthorization(System.Web.Http.Controllers.HttpActionContext actionContext) { if (actionContext.RequestContext.Principal.Identity.IsAuthenticated) { base.OnAuthorization(actionContext); } else { actionContext.Response = actionContext.ControllerContext.Request.CreateErrorResponse(HttpStatusCode.Forbidden, "Not signed in."); } } }

当然, 规范明确声明403是不正确的:

授权无效,请求不应重复

我的另一个想法是,也许我应该完全禁用asp.net的401重定向模块并处理自定义授权属性中的重定向,因为即使对于Mvc视图也很糟糕,因为它不允许您重定向到不同的登录页面,具体取决于用户试图访问的网站。

还有其他更好的方法来处理这个吗?

这是我能够通过更多研究找到的东西。 401被OWIN中间件拦截。 但是,OWIN确实使用Map方法支持分支配置。 所以在Startup.cs文件中我有这个: 

 public partial class Startup { public void Configuration(IAppBuilder app) { app.Map(new PathString("/api"), site => ConfigureAuth2(site)); ConfigureAuth(app); } }

其中ConfigureAuthStartup.Auth.cs文件中的默认配置方法,而ConfigureAuth2是该方法的副本,但在UseCookieAuthentication方法中未指定LoginPath选项,如下所示: 

 app.UseCookieAuthentication(new CookieAuthenticationOptions { AuthenticationType = DefaultAuthenticationTypes.ApplicationCookie, Provider = new CookieAuthenticationProvider { // Enables the application to validate the security stamp when the user logs in. // This is a security feature which is used when you change a password or add an external login to your account. OnValidateIdentity = SecurityStampValidator.OnValidateIdentity( validateInterval: TimeSpan.FromMinutes(30), regenerateIdentity: (manager, user) => user.GenerateUserIdentityAsync(manager)) } });

根据文档 ,当未指定LoginPath时,将不会截获此分支的401响应。

因此,通过这种方法,我将所有请求分支为两种不同的配置 – 所有/api请求都配置为不重定向401状态,而其他所有请求都配置为重定向到登录页面。

这个SO问题谈了一些关于分支配置的问题。

我仍然不确定这是否是最佳方法。

Interesting Posts

从另一个线程访问会话数据

报表查看器控件未显示SSRS的报表

如何在null时使用HttpContext.Current的会话

无法对隐藏控件执行“单击”

ASP.NET MVC控制器动作与自定义参数转换?

使用Response.Redirect()时获取线程中止exception

Facebook中使用asp.net C#sdk的粉丝专享内容

无法将类型’string’隐式转换为’int’

无法以编程方式在C:\ inetpub \ wwwroot中创建文件

在生产中使用LocalDb是正常的吗?