asp.net – AJAX和FormsAuthentication,如何防止FormsAuthentication覆盖HTTP 401?

前端之家收集整理的这篇文章主要介绍了asp.net – AJAX和FormsAuthentication,如何防止FormsAuthentication覆盖HTTP 401?前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
在配置了FormsAuthentication的一个应用程序中,当用户访问没有auth cookie或过期的一个到受保护的页面时,ASP.NET发出HTTP 401未授权,则FormsAuthentication模块在请求结束之前拦截此响应,并将其更改为HTTP 302 Found,设置HTTP头“Location:/ path / loginurl”,以便将用户代理重定向登录页面,然后浏览器转到该页面并检索未受保护的登录页面获取HTTP 200 OK。

这是一个很好的主意,当AJAX没有被考虑。

现在我有一个url在我的应用程序,返回JSON数据,它需要用户进行身份验证。一切都很好,问题是,如果auth cookie过期,当我的客户端代码调用服务器,它将获得一个HTTP 200 OK与登录页面的html,而不是HTTP 401未授权(因为前面解释)。然后我的客户端尝试将登录页面html解析为json,并失败。

问题是:如何处理来自客户端的过期身份验证?什么是最优雅的解决方案来应对这种情况?我需要知道呼叫是否成功,我想使用HTTP语义。

是否可以以安全的跨浏览器方式从客户端读取自定义HTTP头?
有没有办法告诉FormsAuthenticationModule不执行重定向,如果请求是一个AJAX请求?
有没有办法重写HTTP状态使用HTTP头,同样的方式,你可以覆盖HTTP请求方法

我需要Forms验证,我想避免重写那个模块或者写我自己的表单验证模块。

问候。

解决方法

我有同样的问题,并不得不使用自定义属性在MVC。你可以很容易地适应这在web表单中工作,如果所有的页面继承自一些基本页面(在MVC中的全局属性允许同样的事情 – 覆盖OnAuthorization方法的所有控制器/动作应用)

这是属性如下所示:

public class AjaxAuthorizationAttribute : FilterAttribute,IAuthorizationFilter
    {
        public void OnAuthorization(AuthorizationContext filterContext)
        {
            if (filterContext.HttpContext.Request.IsAjaxRequest()
                && !filterContext.HttpContext.User.Identity.IsAuthenticated
                && (filterContext.ActionDescriptor.GetCustomAttributes(typeof(AuthorizeAttribute),true).Count() > 0
                || filterContext.ActionDescriptor.ControllerDescriptor.GetCustomAttributes(typeof(AuthorizeAttribute),true).Count() > 0))
            {
                filterContext.HttpContext.SkipAuthorization = true;
                filterContext.HttpContext.Response.Clear();
                filterContext.HttpContext.Response.StatusCode = (int)System.Net.HttpStatusCode.Unauthorized;
                filterContext.Result = new HttpUnauthorizedResult("Unauthorized");
                filterContext.Result.ExecuteResult(filterContext.Controller.ControllerContext);
                filterContext.HttpContext.Response.End();
            }
        }
    }

注意,你需要调用HttpContext.Response.End();或者您的请求将被重定向登录(我失去了一些我的头发,因为这)。

在客户端,我使用jQuery ajaxError方法

var lastAjaxCall = { settings: null,jqXHR: null };
var loginUrl = "yourloginurl";

//...
//...

$(document).ready(function(){
    $(document).ajaxError(function (event,jqxhr,settings) {
            if (jqxhr.status == 401) {
                if (loginUrl) {
                    $("body").prepend("<div class='loginoverlay'><div class='full'></div><div class='iframe'><iframe id='login' src='" + loginUrl + "'></iframe></div></div>");
                    $("div.loginoverlay").show();
                    lastAjaxCall.jqXHR = jqxhr;
                    lastAjaxCall.settings = settings;
                }
            }
    }

}

显示当前页面的iframe登录(看起来像用户重定向,但你可以使它不同),当登录成功,此弹出窗口关闭,原始ajax请求重新发送:

if (lastAjaxCall.settings) {
        $.ajax(lastAjaxCall.settings);
        lastAjaxCall.settings = null;
    }

这允许您的用户在会话过期时登录,而不会丢失他们的任何工作或最后显示的表单中键入的数据。

猜你在找的asp.Net相关文章