401 mã phản hồi cho các yêu cầu json với ASP.NET MVC

Question

Làm thế nào để vô hiệu hóa việc xử lý tiêu chuẩn ASP.NET của mã phản hồi 401 (chuyển hướng đến trang đăng nhập) cho các yêu cầu AJAX/JSON?

Đối với các trang web thì không sao, nhưng đối với AJAX, tôi cần nhận mã lỗi 401 đúng thay vì tìm kiếm 302/200 cho trang đăng nhập.

Cập nhật: Có một số giải pháp từ Phil Haack, PM của ASP.NET MVC - http://haacked.com/archive/2011/10/04/prevent-forms-authentication-login-page-redirect-when-you-donrsquot-want.aspx

Answer 1

các ASP.NET runtime được phát triển để nó luôn luôn sẽ chuyển hướng người dùng nếu HttpResponse.StatusCode được thiết lập để 401, nhưng chỉ khi phần <authentication /> của Web.config được tìm thấy

. Loại bỏ phần xác thực sẽ yêu cầu bạn để thực hiện chuyển hướng đến trang đăng nhập trong thuộc tính của bạn, nhưng điều này không nên là một việc lớn.

Answer 2

Bạn có thể chọn để tạo ra một tùy chỉnh FilterAttribute thực hiện giao diện IAuthorizationFilter.

Trong thuộc tính này, bạn thêm logic để xác định xem yêu cầu được giả định trả về JSON hay không. Nếu vậy, bạn có thể trả lại kết quả JSON trống (hoặc làm bất cứ điều gì bạn thích) do người dùng không đăng nhập. Đối với các câu trả lời khác, bạn sẽ chỉ chuyển hướng người dùng như mọi khi.

Thậm chí tốt hơn, bạn chỉ có thể ghi đè số OnAuthorization của lớp AuthorizeAttribute để bạn không phải phát minh lại bánh xe. Thêm logic tôi đã đề cập ở trên và đánh chặn nếu filterContext.Cancel là đúng (các filterContext.Result sẽ được thiết lập để một thể hiện của lớp HttpUnauthorizedResult.

Đọc thêm về "Filters in ASP.NET MVC CodePlex Preview 4" trên Phil Haacks blog. Nó cũng áp dụng cho chế độ xem trước mới nhất.

Answer 3

Bạn cũng có thể sử dụng Global.asax để ngừng quá trình này với một cái gì đó như thế này:

protected void Application_PreSendRequestHeaders(object sender, EventArgs e) { 
     if (Response.StatusCode == 401) { 
      Response.Clear(); 
      Response.Redirect(Response.ApplyAppPathModifier("~/Login.aspx")); 
      return; 
     } 
    } 

Answer 4

Trong ASP.NET cổ điển bạn nhận được một mã phản hồi 401 http khi gọi một WebMethod với Ajax. Tôi hy vọng họ sẽ thay đổi nó trong các phiên bản tương lai của ASP.NET MVC. Hiện tại tôi đang sử dụng hack này:

protected void Application_EndRequest() 
{ 
    if (Context.Response.StatusCode == 302 && Context.Request.Headers["X-Requested-With"] == "XMLHttpRequest") 
    { 
     Context.Response.Clear(); 
     Context.Response.StatusCode = 401; 
    } 
} 

Answer 5

Tôi muốn cả Xác thực mẫu và trả về 401 cho các yêu cầu Ajax không được xác thực.

Cuối cùng, tôi đã tạo một AuthorizeAttribute tùy chỉnh và trang trí các phương thức điều khiển. (Đây là trên Net 4.5)

//web.config

<authentication mode="Forms"> 
</authentication> 

// điều khiển

[Authorize(Roles = "Administrator,User"), Response302to401] 
[AcceptVerbs("Get")] 
public async Task<JsonResult> GetDocuments() 
{ 
    string requestUri = User.Identity.Name.ToLower() + "/document"; 
    RequestKeyHttpClient<IEnumerable<DocumentModel>, string> client = 
     new RequestKeyHttpClient<IEnumerable<DocumentModel>, string>(requestUri); 

    var documents = await client.GetManyAsync<IEnumerable<DocumentModel>>(); 

    return Json(documents, JsonRequestBehavior.AllowGet); 
} 

// AuthorizeAttribute

public class Response302to401 : AuthorizeAttribute 
{ 
    protected override void HandleUnauthorizedRequest(AuthorizationContext filterContext) 
    { 
     if (!filterContext.HttpContext.User.Identity.IsAuthenticated) 
     { 
      if (filterContext.HttpContext.Request.IsAjaxRequest()) 
      { 
       filterContext.Result = new JsonResult 
       { 
        Data = new { Message = "Your session has died a terrible and gruesome death" }, 
        JsonRequestBehavior = JsonRequestBehavior.AllowGet 
       }; 
       filterContext.HttpContext.Response.StatusCode = 401; 
       filterContext.HttpContext.Response.StatusDescription = "Humans and robots must authenticate"; 
       filterContext.HttpContext.Response.SuppressFormsAuthenticationRedirect = true; 
      } 
     } 
     //base.HandleUnauthorizedRequest(filterContext); 
    } 
} 

Answer 6

Tôi không thấy gì chúng tôi phải sửa đổi chế độ xác thực hoặc thẻ xác thực như câu trả lời hiện tại nói.

Theo ý tưởng của @TimothyLeeRussell (cảm ơn bằng cách này), tôi đã tạo một thuộc tính ủy quyền tùy chỉnh (vấn đề với một trong @TimothyLeeRussell là một ngoại lệ là ném vì anh ta cố gắng thay đổi filterContext.Result một tạo ra một HttpException, và loại bỏ phần đó, bên cạnh filterContext.HttpContext.Response.StatusCode = 401, mã phản hồi luôn là 200 OK). Vì vậy, cuối cùng tôi đã giải quyết vấn đề bằng cách kết thúc phản hồi sau khi thay đổi.

[AttributeUsage(AttributeTargets.Class | AttributeTargets.Method)] 
public class BetterAuthorize : AuthorizeAttribute 
{ 
    protected override void HandleUnauthorizedRequest(AuthorizationContext filterContext) 
    { 
     if (filterContext.HttpContext.Request.IsAjaxRequest()) 
     { 
      //Set the response status code to 500 
      filterContext.HttpContext.Response.StatusCode = (int)HttpStatusCode.Unauthorized; 
      filterContext.HttpContext.Response.StatusDescription = "Humans and robots must authenticate"; 
      filterContext.HttpContext.Response.SuppressFormsAuthenticationRedirect = true; 

      filterContext.HttpContext.Response.End(); 
     } 
     else 
      base.HandleUnauthorizedRequest(filterContext); 
    } 
} 

Answer 7

Bạn có thể gọi phương pháp này bên trong hành động của bạn,

HttpContext.Response.End(); 

Ví dụ

public async Task<JsonResult> Return401() 
{ 
    HttpContext.Response.StatusCode = (int)HttpStatusCode.Unauthorized; 
    HttpContext.Response.End(); 
    return Json("Unauthorized", JsonRequestBehavior.AllowGet); 
} 

Từ MSDN: Phương pháp End làm cho máy chủ Web để ngừng xử lý kịch bản và trả lại hiện tại kết quả. Các nội dung còn lại của tập tin không được xử lý.