在配置了FormsAuthentication的一个应用程序中,当用户访问没有auth cookie或过期的一个到受保护的页面时,ASP.NET发出HTTP 401未授权,则FormsAuthentication模块在请求结束之前拦截此响应,并将其更改为HTTP 302 Found,设置HTTP头“Location:/ path / loginurl”,以便将用户代理重定向到登录页面,然后浏览器转到该页面并检索未受保护的登录页面,获取HTTP 200 OK。
这是一个很好的主意,当AJAX没有被考虑。
现在我有一个url在我的应用程序,返回JSON数据,它需要用户进行身份验证。一切都很好,问题是,如果auth cookie过期,当我的客户端代码调用服务器,它将获得一个HTTP 200 OK与登录页面的html,而不是HTTP 401未授权(因为前面解释)。然后我的客户端尝试将登录页面html解析为json,并失败。
问题是:如何处理来自客户端的过期身份验证?什么是最优雅的解决方案来应对这种情况?我需要知道呼叫是否成功,我想使用HTTP语义。
是否可以以安全的跨浏览器方式从客户端读取自定义HTTP头?
有没有办法告诉FormsAuthenticationModule不执行重定向,如果请求是一个AJAX请求?
有没有办法重写HTTP状态使用HTTP头,同样的方式,你可以覆盖HTTP请求方法?
我需要Forms验证,我想避免重写那个模块或者写我自己的表单验证模块。
问候。
解决方法
我有同样的问题,并不得不使用自定义属性在MVC。你可以很容易地适应这在web表单中工作,如果所有的页面继承自一些基本页面(在MVC中的全局属性允许同样的事情 – 覆盖OnAuthorization方法的所有控制器/动作应用)
这是属性如下所示:
public class AjaxAuthorizationAttribute : FilterAttribute,IAuthorizationFilter { public void OnAuthorization(AuthorizationContext filterContext) { if (filterContext.HttpContext.Request.IsAjaxRequest() && !filterContext.HttpContext.User.Identity.IsAuthenticated && (filterContext.ActionDescriptor.GetCustomAttributes(typeof(AuthorizeAttribute),true).Count() > 0 || filterContext.ActionDescriptor.ControllerDescriptor.GetCustomAttributes(typeof(AuthorizeAttribute),true).Count() > 0)) { filterContext.HttpContext.SkipAuthorization = true; filterContext.HttpContext.Response.Clear(); filterContext.HttpContext.Response.StatusCode = (int)System.Net.HttpStatusCode.Unauthorized; filterContext.Result = new HttpUnauthorizedResult("Unauthorized"); filterContext.Result.ExecuteResult(filterContext.Controller.ControllerContext); filterContext.HttpContext.Response.End(); } } }
注意,你需要调用HttpContext.Response.End();或者您的请求将被重定向到登录(我失去了一些我的头发,因为这)。
在客户端,我使用jQuery ajaxError方法:
var lastAjaxCall = { settings: null,jqXHR: null }; var loginUrl = "yourloginurl"; //... //... $(document).ready(function(){ $(document).ajaxError(function (event,jqxhr,settings) { if (jqxhr.status == 401) { if (loginUrl) { $("body").prepend("<div class='loginoverlay'><div class='full'></div><div class='iframe'><iframe id='login' src='" + loginUrl + "'></iframe></div></div>"); $("div.loginoverlay").show(); lastAjaxCall.jqXHR = jqxhr; lastAjaxCall.settings = settings; } } } }
这显示在当前页面的iframe登录(看起来像用户被重定向,但你可以使它不同),当登录成功,此弹出窗口关闭,原始ajax请求重新发送:
if (lastAjaxCall.settings) { $.ajax(lastAjaxCall.settings); lastAjaxCall.settings = null; }