防止 FormsAuthenticationModule 拦截 ASP.NET Web API 响应

Posted

技术标签:

【中文标题】防止 FormsAuthenticationModule 拦截 ASP.NET Web API 响应【英文标题】:Prevent FormsAuthenticationModule of intercepting ASP.NET Web API responses 【发布时间】:2012-06-20 16:59:21 【问题描述】:

在 ASP.NET 中,FormsAuthenticationModule 拦截任何 HTTP 401,并将 HTTP 302 重定向返回到登录页面。这对 AJAX 来说很痛苦,因为您要求 json 并以 html 格式获取登录页面,但状态码是 HTTP 200。

在 ASP.NET Web API 中避免这种拦截的方法是什么?

在 ASP.NET MVC4 中,很容易通过显式结束连接来防止这种拦截:

public class MyMvcAuthFilter:AuthorizeAttribute

    protected override void HandleUnauthorizedRequest(AuthorizationContext filterContext)
    
        if (filterContext.HttpContext.Request.IsAjaxRequest() && !filterContext.IsChildAction)
        
            filterContext.Result = new HttpStatusCodeResult(401);
            filterContext.HttpContext.Response.StatusCode = 401;
            filterContext.HttpContext.Response.SuppressContent = true;
            filterContext.HttpContext.Response.End();
        
        else
            base.HandleUnauthorizedRequest(filterContext);
    

但在 ASP.NET Web API 中,我无法显式结束连接,因此即使我使用此代码,FormsAuthenticationModule 也会拦截响应并将重定向发送到登录页面:

public class MyWebApiAuth: AuthorizeAttribute

    protected override void HandleUnauthorizedRequest(System.Web.Http.Controllers.HttpActionContext actionContext)
    
        if(actionContext.Request.Headers.Any(h=>h.Key.Equals("X-Requested-With",StringComparison.OrdinalIgnoreCase)))
        
            var xhr = actionContext.Request.Headers.Single(h => h.Key.Equals("X-Requested-With", StringComparison.OrdinalIgnoreCase)).Value.First();

            if (xhr.Equals("XMLHttpRequest", StringComparison.OrdinalIgnoreCase))
            
                // this does not work either
                //throw new HttpResponseException(HttpStatusCode.Unauthorized);

                actionContext.Response = new System.Net.Http.HttpResponseMessage(System.Net.HttpStatusCode.Unauthorized);
                return;
            
        

        base.HandleUnauthorizedRequest(actionContext);
    

在 ASP.NET Web API 中避免这种行为的方法是什么?我一直在看,我找不到办法。

问候。

PS:我不敢相信这是 2012 年,这个问题仍然存在。

【问题讨论】:

其他人可以试试这个:blog.craigtp.co.uk/post/OWIN-Hosted-Web-API-in-an-MVC-Project @Sentinel 发布的链接解决了我的问题....谢谢! 【参考方案1】:

如果有人有兴趣使用 Authorize 属性处理 ASP.NET MVC 应用程序中的相同问题:

[AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, Inherited = true, AllowMultiple = true)]
public class Authorize2Attribute : AuthorizeAttribute

    protected override void HandleUnauthorizedRequest(AuthorizationContext filterContext)
    
        if (filterContext.HttpContext.Request.IsAuthenticated)
        
            filterContext.Result = new HttpStatusCodeResult((int) HttpStatusCode.Forbidden);
        
        else
        
            if (filterContext.HttpContext.Request.IsAjaxRequest())
            
                filterContext.HttpContext.Response.SuppressFormsAuthenticationRedirect = true;
            
            base.HandleUnauthorizedRequest(filterContext);
        
    
 

这种方式浏览器可以正确区分禁止和未经授权的请求..

【讨论】:

【参考方案2】:

MVC 4 RC 的发行说明暗示自 Beta 版以来此问题已得到解决 - 您使用的是哪个?

http://www.asp.net/whitepapers/mvc4-release-notes 由 ASP.NET Web API 处理的未经授权的请求返回 401 Unauthroized:由 ASP.NET Web API 处理的未经授权的请求现在返回标准的 401 Unauthorized 响应,而不是将用户代理重定向到登录表单,以便可以通过以下方式处理响应一个 Ajax 客户端。

查看 MVC 的源代码,似乎有一个通过 SuppressFormsAuthRedirectModule.cs 添加的功能

http://aspnetwebstack.codeplex.com/SourceControl/network/forks/BradWilson/AspNetWebStack/changeset/changes/ae1164a2e339#src%2fSystem.Web.Http.WebHost%2fHttpControllerHandler.cs.

    internal static bool GetEnabled(NameValueCollection appSettings)
    
            // anything but "false" will return true, which is the default behavior

所以看起来这是默认启用的,RC 应该可以解决您的问题而无需任何英雄主义......作为一个侧面,您似乎可以使用 AppSettings http://d.hatena.ne.jp/shiba-yan/20120430/1335787815 禁用这个新模块:

<appSettings> 
    <Add Key = "webapi:EnableSuppressRedirect"  value = "false" /> 
</appSettings>

编辑(示例和说明)

我现在在GitHub 上为这种方法创建了一个示例。新的重定向抑制要求您使用两个正确的“授权”属性;控制器中的 MVC Web [System.Web.Mvc.Authorize] 和 Web API [System.Web.Http.Authorize] 和/或全局过滤器Link。

但是,此示例确实显示了该方法的局限性。似乎 web.config 中的“授权”节点将始终优先于 MVC 路由,例如这样的配置将覆盖您的规则并仍然重定向到登录:

<system.web>
    <authentication mode="Forms">
    </authentication>
    <authorization>
        <deny users="?"/> //will deny anonymous users to all routes including WebApi
    </authorization>
</system.web> 

遗憾的是,使用 Location 元素为某些 url 路由打开它似乎不起作用,WebApi 调用将继续被拦截并重定向到登录。

解决方案

对于 MVC 应用程序,我只是建议从 Web.Config 中删除配置并在代码中坚持使用全局过滤器和属性。

如果您必须在 Web.Config 中为 MVC 使用授权节点或拥有混合 ASP.NET 和 WebApi 应用程序,那么@PilotBob - 在下面的 cmets 中 - 发现子文件夹和多个 Web.Config 可以用来拥有你的蛋糕吃吧。

【讨论】:

我正在使用测试版,因为上周我尝试获取最新版本,但 DependencyResolver 没有按预期工作,所以 Ninject MVC 没有工作,我尝试了几个同时提出的解决方法,但没有奏效。你知道吗?谢谢一百万。 @NullOrEmpty 哦,好的。我在 Ninject 的 RC 上(从 Autofac 移出,因为我在 RC 的早期遇到了问题)。此链接描述了一种与我相同的方法,应该可以正常工作strathweb.com/2012/05/… 我正在使用 RC 并且表单身份验证似乎仍然在向我的登录屏幕发送请求。我试图在 web.config 中允许未经身份验证的我的 api 路径,但这似乎没有帮助。 @PilotBob 这个周末我会仔细检查一下,但只是想一想——你是否使用了正确的 Authorise 属性? ***.com/questions/9482982/… @MarkJones 我找到了解决这个问题的方法。幸运的是,我所有的 .aspx 表单都在子文件夹中。所以,我只是为每个拒绝匿名添加一个 web.config。这个周末我可能会写博客。【参考方案3】:

通过设置以下属性,我能够绕过 web.config 中的拒绝匿名设置:

Request.RequestContext.HttpContext.SkipAuthorization = true;

在对 Global.asax.cs 中的 Application_BeginRequest 方法中的 Request 对象进行一些检查后,我会执行此操作,例如 RawURL 属性和其他标头信息,以确保请求正在访问我希望允许匿名访问的区域。一旦调用 API 操作,我仍然会执行身份验证/授权。

【讨论】:

以上是关于防止 FormsAuthenticationModule 拦截 ASP.NET Web API 响应的主要内容,如果未能解决你的问题,请参考以下文章

PHP 怎么防止GET方式提交重复数据?

如何防止网站被*** 防止网站数据被***篡改

MyBatis怎么防止SQL注入

如何彻底防止SQL注入?

怎么防止网站被***和防止服务器被黑

在winform当中提交数据,如何防止重复提交?