ASP.NET Web API: Cách đúng để trả lại 401/phản hồi trái phép

Question

Tôi có trang web MVC webapi sử dụng xác thực OAuth/token để xác thực yêu cầu. Tất cả các bộ điều khiển có liên quan đều có thuộc tính phù hợp và xác thực đang hoạt động tốt.

Vấn đề là không phải tất cả yêu cầu đều có thể được ủy quyền trong phạm vi thuộc tính - một số kiểm tra ủy quyền phải được thực hiện bằng mã được gọi bằng phương pháp điều khiển - cách trả lại phản hồi trái phép 401 là chính xác trong trường hợp này?

Tôi đã thử throw new HttpException(401, "Unauthorized access");, nhưng khi tôi làm điều này, mã trạng thái phản hồi là 500 và tôi cũng nhận được một dấu vết ngăn xếp. Ngay cả khi chúng tôi đăng nhập DelegatingHandler, chúng tôi có thể thấy rằng phản hồi là 500, chứ không phải 401.

Answer 1

Bạn nên ném một HttpResponseException từ phương pháp API của bạn, không HttpException:

throw new HttpResponseException(HttpStatusCode.Unauthorized); 

Hoặc, nếu bạn muốn cung cấp một thông báo tùy chỉnh :

var msg = new HttpResponseMessage(HttpStatusCode.Unauthorized) { ReasonPhrase = "Oops!!!" }; 
throw new HttpResponseException(msg); 

Answer 2

Bạn nhận được mã phản hồi 500 vì bạn đang ném ngoại lệ (HttpException) cho biết một số lỗi máy chủ. tiếp cận.

Chỉ cần thiết lập trạng thái mã phản hồi .eg

Response.StatusCode = (int)HttpStatusCode.Unauthorized; 

Answer 3

Chỉ cần trả lại các mục sau:

return Unauthorized(); 

Answer 4

Để thay thế cho câu trả lời khác, bạn cũng có thể sử dụng này:

return Content(HttpStatusCode.Unauthorized, "My error message"); 

Rõ ràng cụm từ lý do là khá tùy chọn (Can an HTTP response omit the Reason-Phrase?)