Как отключить стандартную обработку кода ответа 401 в ASP.NET (перенаправление на страницу входа) для запросов AJAX / JSON?
Для веб-страниц это нормально, но для AJAX мне нужно получить правильный код ошибки 401 вместо красивого 302/200 для страницы входа.
Обновление: есть несколько решений от Фила Хаака, премьер-министра ASP.NET MVC - http://haacked.com/archive/2011/10/04/prevent-forms-authentication-login-page-redirect-when-you-donrsquot-want.aspx
Среда выполнения ASP.NET разработана таким образом, что она всегда будет перенаправлять пользователя, если HttpResponse.StatusCode имеет значение 401, но только если найден раздел <authentication /> файла Web.config.
Удаление раздела аутентификации потребует от вас реализации перенаправления на страницу входа в свой атрибут, но это не должно иметь большого значения.
В классическом ASP.NET вы получаете код ответа HTTP 401 при вызове WebMethod с помощью Ajax. Я надеюсь, что они изменят его в будущих версиях ASP.NET MVC. Прямо сейчас я использую этот хак:
protected void Application_EndRequest()
{
if (Context.Response.StatusCode == 302 && Context.Request.Headers["X-Requested-With"] == "XMLHttpRequest")
{
Context.Response.Clear();
Context.Response.StatusCode = 401;
}
}
Мне нужна была проверка подлинности с помощью форм и возврат 401 для запросов Ajax, которые не прошли проверку подлинности.
В конце концов, я создал настраиваемый атрибут AuthorizeAttribute и украсил методы контроллера. (Это в .Net 4.5)
//web.config
<authentication mode="Forms">
</authentication>
// контроллер
[Authorize(Roles = "Administrator,User"), Response302to401]
[AcceptVerbs("Get")]
public async Task<JsonResult> GetDocuments()
{
string requestUri = User.Identity.Name.ToLower() + "/document";
RequestKeyHttpClient<IEnumerable<DocumentModel>, string> client =
new RequestKeyHttpClient<IEnumerable<DocumentModel>, string>(requestUri);
var documents = await client.GetManyAsync<IEnumerable<DocumentModel>>();
return Json(documents, JsonRequestBehavior.AllowGet);
}
// authorizeAttribute
public class Response302to401 : AuthorizeAttribute
{
protected override void HandleUnauthorizedRequest(AuthorizationContext filterContext)
{
if (!filterContext.HttpContext.User.Identity.IsAuthenticated)
{
if (filterContext.HttpContext.Request.IsAjaxRequest())
{
filterContext.Result = new JsonResult
{
Data = new { Message = "Your session has died a terrible and gruesome death" },
JsonRequestBehavior = JsonRequestBehavior.AllowGet
};
filterContext.HttpContext.Response.StatusCode = 401;
filterContext.HttpContext.Response.StatusDescription = "Humans and robots must authenticate";
filterContext.HttpContext.Response.SuppressFormsAuthenticationRedirect = true;
}
}
//base.HandleUnauthorizedRequest(filterContext);
}
}
Вы также можете использовать Global.asax, чтобы прервать этот процесс примерно так:
protected void Application_PreSendRequestHeaders(object sender, EventArgs e) {
if (Response.StatusCode == 401) {
Response.Clear();
Response.Redirect(Response.ApplyAppPathModifier("~/Login.aspx"));
return;
}
}
Я не вижу, что нам нужно изменить режим аутентификации или тег аутентификации, как говорится в текущем ответе.
Следуя идее @TimothyLeeRussell (кстати, спасибо), я создал настраиваемый атрибут Authorize (проблема с одним из @TimothyLeeRussell заключается в том, что генерируется исключение, потому что он пытается изменить filterContext.Result an, который генерирует HttpException, и удалив эту часть, помимо filterContext.HttpContext.Response.StatusCode = 401, код ответа всегда был 200 OK). Итак, я наконец решил проблему, закрыв ответ после изменений.
[AttributeUsage(AttributeTargets.Class | AttributeTargets.Method)]
public class BetterAuthorize : AuthorizeAttribute
{
protected override void HandleUnauthorizedRequest(AuthorizationContext filterContext)
{
if (filterContext.HttpContext.Request.IsAjaxRequest())
{
//Set the response status code to 500
filterContext.HttpContext.Response.StatusCode = (int)HttpStatusCode.Unauthorized;
filterContext.HttpContext.Response.StatusDescription = "Humans and robots must authenticate";
filterContext.HttpContext.Response.SuppressFormsAuthenticationRedirect = true;
filterContext.HttpContext.Response.End();
}
else
base.HandleUnauthorizedRequest(filterContext);
}
}
Вы можете вызвать этот метод внутри своего действия,
HttpContext.Response.End();
Пример
public async Task<JsonResult> Return401()
{
HttpContext.Response.StatusCode = (int)HttpStatusCode.Unauthorized;
HttpContext.Response.End();
return Json("Unauthorized", JsonRequestBehavior.AllowGet);
}
Из MSDN: метод End вызывает веб-сервер, чтобы остановить обработку сценария и вернуть текущий результат. Остальное содержимое файла не обрабатывается.
Вы можете создать собственный FilterAttribute, реализующий IAuthorizationFilter интерфейс.
В этом атрибуте вы добавляете логику, чтобы определить, должен ли запрос возвращать JSON. Если это так, вы можете вернуть пустой результат JSON (или сделать что угодно), если пользователь не вошел в систему. Для других ответов вы просто перенаправляете пользователя, как всегда.
Более того, вы можете просто переопределить OnAuthorization класса AuthorizeAttribute, чтобы не изобретать велосипед. Добавьте логику, о которой я упоминал выше, и перехватите, если filterContext.Cancel истинно (filterContext.Result будет установлен в экземпляр класса HttpUnauthorizedResult.
Подробнее о «Фильтры в ASP.NET MVC CodePlex Preview 4» в блоге Фила Хакса. Это также относится к последнему превью.
