วิธีจัดการคำขอเปลี่ยนเส้นทางหลังจากการโทร jQuery Ajax

ฉันใช้$.post()โทร servlet โดยใช้ Ajax แล้วใช้ส่วน HTML ที่เป็นผลลัพธ์เพื่อแทนที่divองค์ประกอบในหน้าปัจจุบันของผู้ใช้ อย่างไรก็ตามหากเซสชันหมดเวลาเซิร์ฟเวอร์จะส่งคำสั่งเปลี่ยนเส้นทางเพื่อส่งผู้ใช้ไปยังหน้าเข้าสู่ระบบ ในกรณีนี้ jQuery กำลังแทนที่divองค์ประกอบด้วยเนื้อหาของหน้าเข้าสู่ระบบบังคับให้ผู้ใช้มองเห็นฉากที่หายากแน่นอน

ฉันจะจัดการคำสั่งเปลี่ยนเส้นทางจากการโทร Ajax ด้วย jQuery 1.2.6 ได้อย่างไร

ฉันอ่านคำถามนี้และใช้วิธีการที่ระบุไว้เกี่ยวกับการตั้งค่ารหัสสถานะ HTTPการตอบสนองเป็น 278 เพื่อหลีกเลี่ยงเบราว์เซอร์ที่จัดการการเปลี่ยนเส้นทางอย่างโปร่งใส แม้ว่ามันจะใช้ได้ดี แต่ฉันก็ไม่พอใจเล็กน้อยเพราะมันเป็นบิตของการแฮ็ค

หลังจากขุดอีกรอบผมทิ้งวิธีนี้และใช้JSON ในกรณีนี้การตอบสนองต่อการร้องขอ AJAX ทั้งหมดมีรหัสสถานะ 200 และเนื้อหาของการตอบสนองมีวัตถุ JSON ที่สร้างขึ้นบนเซิร์ฟเวอร์ JavaScript บนไคลเอนต์สามารถใช้วัตถุ JSON เพื่อตัดสินใจว่าจะต้องทำอะไร

ฉันมีปัญหาคล้ายกับของคุณ ฉันทำการร้องขอ AJAX ที่มี 2 คำตอบที่เป็นไปได้: อันที่เปลี่ยนเส้นทางเบราว์เซอร์ไปยังหน้าใหม่และอีกอันที่แทนที่รูปแบบ HTML ที่มีอยู่ในหน้าปัจจุบันด้วยหน้าใหม่ รหัส jQuery ที่ทำสิ่งนี้ดูเหมือนว่า:

$.ajax({
    type: "POST",
    url: reqUrl,
    data: reqBody,
    dataType: "json",
    success: function(data, textStatus) {
        if (data.redirect) {
            // data.redirect contains the string URL to redirect to
            window.location.href = data.redirect;
        } else {
            // data.form contains the HTML for the replacement form
            $("#myform").replaceWith(data.form);
        }
    }
});

JSON วัตถุ "ข้อมูล" ที่สร้างขึ้นบนเซิร์ฟเวอร์จะมี 2 สมาชิก: และdata.redirect data.formฉันพบวิธีการนี้จะดีขึ้นมาก

ฉันแก้ไขปัญหานี้โดย:

1. การเพิ่มส่วนหัวที่กำหนดเองในการตอบสนอง:

   public ActionResult Index(){
       if (!HttpContext.User.Identity.IsAuthenticated)
       {
           HttpContext.Response.AddHeader("REQUIRES_AUTH","1");
       }
       return View();
   }

2. เชื่อมโยงฟังก์ชัน JavaScript กับajaxSuccessเหตุการณ์และตรวจสอบเพื่อดูว่ามีส่วนหัวหรือไม่:

   $(document).ajaxSuccess(function(event, request, settings) {
       if (request.getResponseHeader('REQUIRES_AUTH') === '1') {
          window.location = '/';
       }
   });

ไม่มีเบราว์เซอร์ที่รองรับการตอบสนอง 301 และ 302 อย่างถูกต้อง และในความเป็นจริงมาตรฐานก็บอกว่าพวกเขาควรจัดการกับพวกเขา "โปร่งใส" ซึ่งเป็นอาการปวดหัวอย่างมากสำหรับผู้ขายอาแจ็กซ์ห้องสมุด ในRa-Ajaxเราถูกบังคับให้ใช้รหัสสถานะการตอบสนอง HTTP 278 (เพียงบางรหัสความสำเร็จ "ไม่ได้ใช้") เพื่อจัดการการเปลี่ยนเส้นทางโปร่งใสจากเซิร์ฟเวอร์ ...

สิ่งนี้ทำให้ฉันรำคาญจริง ๆ และถ้าใครบางคนที่นี่มี "pull" ใน W3C ฉันจะขอบคุณที่คุณสามารถให้ W3C รู้ว่าเราจำเป็นต้องจัดการ 301 และ 302 รหัสตัวเอง ... ! ;)

วิธีแก้ปัญหาที่นำมาใช้ในที่สุดก็คือการใช้ wrapper สำหรับฟังก์ชั่นการโทรกลับของการโทร Ajax และในการตรวจสอบห่อหุ้มนี้สำหรับการดำรงอยู่ขององค์ประกอบที่เฉพาะเจาะจงใน HTML อันกลับมา หากพบองค์ประกอบแล้ว wrapper จะทำการเปลี่ยนเส้นทาง ถ้าไม่ได้ wrapper จะส่งต่อการเรียกไปยังฟังก์ชั่นการโทรกลับจริง

ตัวอย่างเช่นฟังก์ชั่น wrapper ของเราเป็นเช่น:

function cbWrapper(data, funct){
    if($("#myForm", data).length > 0)
        top.location.href="login.htm";//redirection
    else
        funct(data);
}

จากนั้นเมื่อทำการโทร Ajax เราใช้สิ่งที่ชอบ:

$.post("myAjaxHandler", 
       {
        param1: foo,
        param2: bar
       },
       function(data){
           cbWrapper(data, myActualCB);
       }, 
       "html"
);

สิ่งนี้ใช้ได้กับเราเพราะการโทร Ajax ทั้งหมดจะส่งคืน HTML ภายในองค์ประกอบ DIV ที่เราใช้เพื่อแทนที่ส่วนหนึ่งของหน้า นอกจากนี้เราเพียงต้องการเปลี่ยนเส้นทางไปยังหน้าเข้าสู่ระบบ

ฉันชอบวิธีของ Timmerz ด้วยการบีบมะนาวเล็กน้อย ถ้าคุณเคยได้รับกลับcontentTypeของtext / htmlเมื่อคุณคาดหวังJSON , คุณมักจะถูกนำไป ในกรณีของฉันฉันเพียงแค่โหลดหน้าใหม่และมันจะถูกเปลี่ยนเส้นทางไปยังหน้าเข้าสู่ระบบ โอ้และตรวจสอบว่าสถานะ jqXHR เป็น 200 ซึ่งดูเหมือนว่าโง่เพราะคุณอยู่ในฟังก์ชั่นข้อผิดพลาดใช่ไหม? มิฉะนั้นกรณีข้อผิดพลาดที่ถูกกฎหมายจะบังคับให้โหลดซ้ำซ้ำ (อุ๊ปส์)

$.ajax(
   error:  function (jqXHR, timeout, message) {
    var contentType = jqXHR.getResponseHeader("Content-Type");
    if (jqXHR.status === 200 && contentType.toLowerCase().indexOf("text/html") >= 0) {
        // assume that our login has expired - reload our current page
        window.location.reload();
    }

});

ใช้การ$.ajax()โทรระดับต่ำ:

$.ajax({
  url: "/yourservlet",
  data: { },
  complete: function(xmlHttp) {
    // xmlHttp is a XMLHttpRquest object
    alert(xmlHttp.status);
  }
});

ลองใช้วิธีนี้ในการเปลี่ยนเส้นทาง:

if (xmlHttp.code != 200) {
  top.location.href = '/some/other/page';
}

ฉันแค่อยากจะแบ่งปันแนวทางของฉันเพราะมันอาจช่วยคนได้:

ฉันโดยทั่วไปรวมโมดูล JavaScript ที่จัดการสิ่งที่รับรองความถูกต้องเช่นการแสดงชื่อผู้ใช้และกรณีนี้การจัดการการเปลี่ยนเส้นทางไปยังหน้าเข้าสู่ระบบการเปลี่ยนเส้นทางไปยังหน้าเข้าสู่ระบบ

สถานการณ์ของฉัน: โดยทั่วไปเรามีเซิร์ฟเวอร์ ISA ซึ่งจะรับฟังคำขอทั้งหมดและตอบกลับด้วย 302 และส่วนหัวของที่ตั้งในหน้าเข้าสู่ระบบของเรา

ในโมดูล JavaScript ของฉันวิธีการเริ่มต้นของฉันเป็นเหมือน

$(document).ajaxComplete(function(e, xhr, settings){
    if(xhr.status === 302){
        //check for location header and redirect...
    }
});

ปัญหา (ดังที่ได้กล่าวไว้แล้ว) คือเบราว์เซอร์จะจัดการการเปลี่ยนเส้นทางด้วยตัวเองดังนั้นการajaxCompleteโทรกลับของฉันไม่เคยถูกเรียก แต่ฉันกลับได้รับการตอบกลับของหน้าล็อกอินที่เปลี่ยนเส้นทางแล้วซึ่งเห็นได้ชัดว่าเป็นstatus 200ซึ่งเห็นได้ชัดว่าเป็นปัญหา: คุณจะตรวจสอบอย่างไรว่าการตอบสนอง 200 ครั้งที่ประสบความสำเร็จเป็นหน้าเข้าสู่ระบบจริงของคุณหรือหน้าอื่น ๆ โดยพลการ ??

การแก้ไขปัญหา

เนื่องจากฉันไม่สามารถรับการตอบสนองการเปลี่ยนเส้นทางได้ 302 ครั้งฉันจึงเพิ่มLoginPageส่วนหัวในหน้าเข้าสู่ระบบซึ่งมี URL ของหน้าเข้าสู่ระบบเอง ในโมดูลตอนนี้ฉันฟังส่วนหัวและทำการเปลี่ยนเส้นทาง:

if(xhr.status === 200){
    var loginPageRedirectHeader = xhr.getResponseHeader("LoginPage");
    if(loginPageRedirectHeader && loginPageRedirectHeader !== ""){
        window.location.replace(loginPageRedirectHeader);
    }
}

... และนั่นใช้งานได้อย่างมีเสน่ห์ :) คุณอาจสงสัยว่าทำไมฉันจึงรวม URL ไว้ในLoginPageส่วนหัว ... โดยทั่วไปเพราะฉันไม่พบวิธีการกำหนด URL ที่เป็นGETผลมาจากการเปลี่ยนเส้นทางตำแหน่งอัตโนมัติจากxhrวัตถุ ...

ฉันรู้ว่าเรื่องนี้เป็นรุ่นเก่า แต่ฉันจะให้ยังอีกวิธีหนึ่งที่ฉันได้พบและอธิบายไว้ก่อนหน้านี่ โดยทั่วไปฉันใช้ ASP.MVC กับ WIF (แต่นี่ไม่สำคัญสำหรับบริบทของหัวข้อนี้ - คำตอบนั้นเพียงพอไม่ว่าจะใช้เฟรมเวิร์กใดเบาะแสยังคงไม่เปลี่ยนแปลง - จัดการกับปัญหาที่เกี่ยวข้องกับความล้มเหลวในการรับรองความถูกต้อง ) .

วิธีการที่แสดงด้านล่างสามารถนำไปใช้กับคำขอ ajax ทั้งหมดออกจากกล่อง (หากพวกเขาไม่ได้กำหนดใหม่ก่อนที่จะส่งเหตุการณ์ที่เห็นได้ชัด)

$.ajaxSetup({
    beforeSend: checkPulse,
    error: function (XMLHttpRequest, textStatus, errorThrown) {
        document.open();
        document.write(XMLHttpRequest.responseText);
        document.close();
    }
});

ก่อนที่จะทำการร้องขอ ajax ใด ๆ จะCheckPulseถูกเรียกใช้วิธีการ (วิธีการควบคุมซึ่งสามารถเป็นอะไรที่ง่ายที่สุด):

[Authorize]
public virtual void CheckPulse() {}

หากผู้ใช้ไม่ได้รับการรับรองความถูกต้อง (โทเค็นหมดอายุ) วิธีการดังกล่าวไม่สามารถเข้าถึงได้ (ป้องกันโดยAuthorizeคุณลักษณะ) เนื่องจากเฟรมเวิร์กจัดการการพิสูจน์ตัวตนในขณะที่โทเค็นหมดอายุจึงทำให้สถานะ http เป็น 302 ในการตอบสนอง หากคุณไม่ต้องการให้เบราว์เซอร์จัดการกับการตอบสนอง 302 อย่างโปร่งใสให้จับใน Global.asax และเปลี่ยนสถานะการตอบกลับ - เช่น 200 OK นอกจากนี้ให้เพิ่มส่วนหัวซึ่งแนะนำให้คุณประมวลผลการตอบสนองดังกล่าวในลักษณะพิเศษ (ภายหลังที่ด้านลูกค้า):

protected void Application_EndRequest()
{
    if (Context.Response.StatusCode == 302
        && (new HttpContextWrapper(Context)).Request.IsAjaxRequest())
    {                
        Context.Response.StatusCode = 200;
        Context.Response.AddHeader("REQUIRES_AUTH", "1");
    }
}

ในที่สุดที่ด้านลูกค้าตรวจสอบส่วนหัวที่กำหนดเองดังกล่าว หากปัจจุบัน - การเปลี่ยนเส้นทางไปยังหน้าการเข้าสู่ระบบแบบเต็มควรทำ (ในกรณีของฉันwindow.locationถูกแทนที่ด้วย url จากคำขอซึ่งจัดการโดยอัตโนมัติโดยกรอบงานของฉัน)

function checkPulse(XMLHttpRequest) {
    var location = window.location.href;
    $.ajax({
        url: "/Controller/CheckPulse",
        type: 'GET',
        async: false,
        beforeSend: null,
        success:
            function (result, textStatus, xhr) {
                if (xhr.getResponseHeader('REQUIRES_AUTH') === '1') {
                    XMLHttpRequest.abort(); // terminate further ajax execution
                    window.location = location;
                }
            }
    });
}

ผมคิดว่าเป็นวิธีที่ดีในการจัดการนี้คือการใช้ประโยชน์จากรหัสการตอบสนองโปรโตคอล HTTP 401 Unauthorizedที่มีอยู่โดยเฉพาะ

นี่คือวิธีที่ฉันแก้ไขมัน:

1. ฝั่งเซิร์ฟเวอร์: ถ้าเซสชันหมดอายุและคำขอคือ ajax ส่งส่วนหัวรหัสตอบกลับ 401

2. ฝั่งไคลเอ็นต์: เชื่อมโยงกับเหตุการณ์ ajax

   $('body').bind('ajaxSuccess',function(event,request,settings){
   if (401 == request.status){
       window.location = '/users/login';
   }
   }).bind('ajaxError',function(event,request,settings){
   if (401 == request.status){
       window.location = '/users/login';
   }
   });

IMO นี้เป็นแบบทั่วไปมากขึ้นและคุณไม่ได้เขียนข้อมูลจำเพาะ / ส่วนหัวที่กำหนดเองใหม่ คุณไม่ควรแก้ไขการโทร ajax ใด ๆ ที่คุณมีอยู่

แก้ไข:ตามความคิดเห็นของ @ Rob ด้านล่าง 401 (รหัสสถานะ HTTP สำหรับข้อผิดพลาดการตรวจสอบ) ควรเป็นตัวบ่งชี้ ดู403 Forbidden VS 401 ตอบสนอง HTTP ไม่ได้รับอนุญาตสำหรับรายละเอียดเพิ่มเติม เมื่อกล่าวถึงกรอบงานเว็บบางอันใช้ 403 สำหรับทั้งข้อผิดพลาดในการตรวจสอบสิทธิ์และการอนุญาตดังนั้นควรปรับเปลี่ยนให้เหมาะสม ขอบคุณ Rob

ฉันแก้ไขปัญหานี้เช่นนี้:

เพิ่มมิดเดิลแวร์เพื่อประมวลผลการตอบสนองหากเป็นการเปลี่ยนเส้นทางสำหรับการร้องขอ ajax ให้เปลี่ยนการตอบกลับเป็นการตอบสนองปกติด้วย url การเปลี่ยนเส้นทาง

class AjaxRedirect(object):
  def process_response(self, request, response):
    if request.is_ajax():
      if type(response) == HttpResponseRedirect:
        r = HttpResponse(json.dumps({'redirect': response['Location']}))
        return r
    return response

จากนั้นใน ajaxComplete หากการตอบกลับมีการเปลี่ยนเส้นทางมันจะต้องเป็นการเปลี่ยนเส้นทางดังนั้นให้เปลี่ยนตำแหน่งของเบราว์เซอร์

$('body').ajaxComplete(function (e, xhr, settings) {
   if (xhr.status == 200) {
       var redirect = null;
       try {
           redirect = $.parseJSON(xhr.responseText).redirect;
           if (redirect) {
               window.location.href = redirect.replace(/\?.*$/, "?next=" + window.location.pathname);
           }
       } catch (e) {
           return;
       }
   }
}

ฉันมีวิธีง่ายๆที่เหมาะกับฉันไม่ต้องเปลี่ยนรหัสเซิร์ฟเวอร์ ... เพียงแค่เพิ่มลูกจันทน์เทศช้อนชา ...

$(document).ready(function ()
{
    $(document).ajaxSend(
    function(event,request,settings)
    {
        var intercepted_success = settings.success;
        settings.success = function( a, b, c ) 
        {  
            if( request.responseText.indexOf( "<html>" ) > -1 )
                window.location = window.location;
            else
                intercepted_success( a, b, c );
        };
    });
});

ฉันตรวจสอบสถานะของแท็ก html แต่คุณสามารถเปลี่ยน indexOf เพื่อค้นหาสตริงเฉพาะที่มีอยู่ในหน้าเข้าสู่ระบบของคุณ ...

วิธีการแก้ปัญหาที่ผมพบ (มีประโยชน์โดยเฉพาะอย่างยิ่งถ้าคุณต้องการที่จะกำหนดพฤติกรรมทั่วโลก) คือการใช้$.ajaxsetup()วิธีการร่วมกับสถานที่ให้บริการstatusCode เช่นเดียวกับที่คนอื่น ๆ ชี้ให้เห็นอย่าใช้รหัสสถานะการเปลี่ยนเส้นทาง ( 3xx) แทนที่จะใช้รหัส4xxสถานะและจัดการกับฝั่งไคลเอ็นต์ของการเปลี่ยนเส้นทาง

$.ajaxSetup({ 
  statusCode : {
    400 : function () {
      window.location = "/";
    }
  }
});

แทนที่400ด้วยรหัสสถานะที่คุณต้องการจัดการ เช่นเดียวกับที่กล่าวถึงแล้ว401 Unauthorizedอาจเป็นความคิดที่ดี ฉันใช้ตัวเลือกนี้400เนื่องจากไม่เจาะจงมากและฉันสามารถใช้401สำหรับกรณีเฉพาะเพิ่มเติม (เช่นข้อมูลรับรองการเข้าสู่ระบบที่ไม่ถูกต้อง) ดังนั้นแทนที่จะเปลี่ยนเส้นทางโดยตรงแบ็กเอนด์ของคุณควรส่งคืน4xxรหัสข้อผิดพลาดเมื่อเซสชันหมดเวลาและคุณจัดการกับการเปลี่ยนเส้นทางฝั่งไคลเอ็นต์ ทำงานได้สมบูรณ์แบบสำหรับฉันแม้จะใช้เฟรมเวิร์กอย่าง backbone.js

โซลูชันที่ให้มาส่วนใหญ่ใช้วิธีแก้ปัญหาโดยใช้ส่วนหัวพิเศษหรือรหัส HTTP ที่ไม่เหมาะสม โซลูชันเหล่านั้นอาจทำงานได้ แต่รู้สึกว่า 'แฮ็ค' เล็กน้อย ฉันคิดวิธีแก้ปัญหาอื่น

เรากำลังใช้ WIF ซึ่งถูกกำหนดค่าให้เปลี่ยนเส้นทาง (passiveRedirectEnabled = "true") ในการตอบกลับ 401 การเปลี่ยนเส้นทางนั้นมีประโยชน์เมื่อจัดการคำขอปกติ แต่จะไม่ทำงานสำหรับคำขอ AJAX (เนื่องจากเบราว์เซอร์จะไม่ดำเนินการเปลี่ยนเส้นทาง 302 /)

การใช้รหัสต่อไปนี้ใน global.asax ของคุณคุณสามารถปิดการใช้งานการเปลี่ยนเส้นทางสำหรับคำขอ AJAX:

    void WSFederationAuthenticationModule_AuthorizationFailed(object sender, AuthorizationFailedEventArgs e)
    {
        string requestedWithHeader = HttpContext.Current.Request.Headers["X-Requested-With"];

        if (!string.IsNullOrEmpty(requestedWithHeader) && requestedWithHeader.Equals("XMLHttpRequest", StringComparison.OrdinalIgnoreCase))
        {
            e.RedirectToIdentityProvider = false;
        }
    }

วิธีนี้ช่วยให้คุณสามารถส่งกลับการตอบสนอง 401 ครั้งสำหรับคำขอ AJAX ซึ่งจาวาสคริปต์ของคุณสามารถจัดการได้โดยการโหลดหน้าซ้ำ การโหลดหน้าซ้ำจะมี 401 ซึ่ง WIF จะจัดการ (และ WIF จะเปลี่ยนเส้นทางผู้ใช้ไปยังหน้าเข้าสู่ระบบ)

ตัวอย่าง javascript เพื่อจัดการข้อผิดพลาด 401:

$(document).ajaxError(function (event, jqxhr, settings, exception) {

    if (jqxhr.status == 401) { //Forbidden, go to login
        //Use a reload, WIF will redirect to Login
        location.reload(true);
    }
});

ปัญหานี้อาจปรากฏขึ้นโดยใช้วิธี ASP.NET MVC RedirectToAction เพื่อป้องกันไม่ให้รูปแบบการแสดงการตอบสนองใน div ที่คุณสามารถทำชนิดของตัวกรองการตอบสนองของอาแจ็กซ์บางอย่างสำหรับการตอบสนองกับ incomming $ .ajaxSetup หากการตอบสนองมีการเปลี่ยนเส้นทาง MVC คุณสามารถประเมินนิพจน์นี้ทางด้าน JS รหัสตัวอย่างสำหรับ JS ด้านล่าง:

$.ajaxSetup({
    dataFilter: function (data, type) {
        if (data && typeof data == "string") {
            if (data.indexOf('window.location') > -1) {
                eval(data);
            }
        }
        return data;
    }
});

หาก data คือ: "window.location = '/ Acount / Login'"ตัวกรองด้านบนจะตรวจจับและประเมินเพื่อทำการเปลี่ยนเส้นทางแทนที่จะปล่อยให้ข้อมูลถูกแสดง

รวบรวมสิ่งที่ Vladimir Prudnikov และ Thomas Hansen กล่าวไว้:

• เปลี่ยนรหัสฝั่งเซิร์ฟเวอร์ของคุณเพื่อตรวจสอบว่าเป็น XHR หรือไม่ หากเป็นเช่นนั้นให้ตั้งรหัสตอบกลับของการเปลี่ยนเส้นทางเป็น 278 ใน django:

   if request.is_ajax():
      response.status_code = 278

สิ่งนี้ทำให้เบราว์เซอร์ถือว่าการตอบสนองเป็นความสำเร็จและมอบให้กับ Javascript ของคุณ

• ใน JS ของคุณตรวจสอบให้แน่ใจว่าการส่งแบบฟอร์มผ่าน Ajax ตรวจสอบรหัสตอบกลับและเปลี่ยนเส้นทางหากจำเป็น:

$('#my-form').submit(function(event){ 

  event.preventDefault();   
  var options = {
    url: $(this).attr('action'),
    type: 'POST',
    complete: function(response, textStatus) {    
      if (response.status == 278) { 
        window.location = response.getResponseHeader('Location')
      }
      else { ... your code here ... } 
    },
    data: $(this).serialize(),   
  };   
  $.ajax(options); 
});

    <script>
    function showValues() {
        var str = $("form").serialize();
        $.post('loginUser.html', 
        str,
        function(responseText, responseStatus, responseXML){
            if(responseStatus=="success"){
                window.location= "adminIndex.html";
            }
        });     
    }
</script>

ลอง

    $(document).ready(function () {
        if ($("#site").length > 0) {
            window.location = "<%= Url.Content("~") %>" + "Login/LogOn";
        }
    });

วางไว้ในหน้าเข้าสู่ระบบ หากมีการโหลดใน div ในหน้าหลักมันจะเปลี่ยนเส้นทางไปยังหน้าเข้าสู่ระบบ "#site" เป็นรหัสของ div ซึ่งอยู่ในทุกหน้ายกเว้นหน้าเข้าสู่ระบบ

ในขณะที่คำตอบดูเหมือนจะใช้ได้ผลสำหรับผู้คนหากคุณใช้ Spring Security ฉันพบว่ามีการขยาย LoginUrlAuthenticationEntryPoint และเพิ่มรหัสเฉพาะเพื่อจัดการ AJAX ที่มีประสิทธิภาพมากขึ้น ตัวอย่างส่วนใหญ่สกัดกั้นการเปลี่ยนเส้นทางทั้งหมดไม่ใช่แค่การตรวจสอบสิทธิ์ล้มเหลว นี่เป็นสิ่งที่ไม่พึงประสงค์สำหรับโครงการที่ฉันทำงาน คุณอาจพบว่าจำเป็นต้องขยาย ExceptionTranslationFilter และแทนที่เมธอด "sendStartAuthentication" เพื่อลบขั้นตอนการแคชหากคุณไม่ต้องการแคช AJAX ที่ล้มเหลว

ตัวอย่าง AjaxAwareAuthenticationEntryPoint:

public class AjaxAwareAuthenticationEntryPoint extends
    LoginUrlAuthenticationEntryPoint {

    public AjaxAwareAuthenticationEntryPoint(String loginUrl) {
        super(loginUrl);
    }

    @Override
    public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException authException) throws IOException, ServletException {
        if (isAjax(request)) {
            response.sendError(HttpStatus.UNAUTHORIZED.value(), "Please re-authenticate yourself");
        } else {
        super.commence(request, response, authException);
        }
    }

    public static boolean isAjax(HttpServletRequest request) {
        return request != null && "XMLHttpRequest".equals(request.getHeader("X-Requested-With"));
    }
}

แหล่งที่มา: 1 , 2

ฉันแก้ไขได้โดยใส่สิ่งต่อไปนี้ในหน้า login.php ของฉัน

<script type="text/javascript">
    if (top.location.href.indexOf('login.php') == -1) {
        top.location.href = '/login.php';
    }
</script>

ให้ฉันพูดปัญหาอีกครั้งตามที่อธิบายโดย @Steg

ฉันมีปัญหาคล้ายกับของคุณ ฉันทำการร้องขอ ajax ที่มี 2 คำตอบที่เป็นไปได้: อันที่เปลี่ยนเส้นทางเบราว์เซอร์ไปยังหน้าใหม่และอีกอันที่แทนที่รูปแบบ HTML ที่มีอยู่ในหน้าปัจจุบันด้วยหน้าใหม่

IMHO นี่เป็นความท้าทายที่แท้จริงและจะต้องมีการขยายอย่างเป็นทางการในมาตรฐาน HTTP ปัจจุบัน

ฉันเชื่อว่า Http Standard ใหม่จะใช้รหัสสถานะใหม่ ความหมาย: ขณะนี้301/302บอกเบราว์เซอร์ที่จะไปและดึงเนื้อหาของคำขอนี้เพื่อใหม่locationคำขอไปอยู่ที่ใหม่

ในมาตรฐานแบบขยายจะกล่าวได้ว่าหากการตอบสนองstatus: 308(เป็นเพียงตัวอย่าง) เบราว์เซอร์ควรเปลี่ยนเส้นทางไปยังหน้าหลักlocationระบุไว้

ที่ถูกกล่าว; ฉันมีแนวโน้มที่จะเลียนแบบพฤติกรรมในอนาคตนี้แล้วดังนั้นเมื่อจำเป็นต้องใช้ document.redirect ฉันมีเซิร์ฟเวอร์ที่ตอบสนองเป็น:

status: 204 No Content
x-status: 308 Document Redirect
x-location: /login.html

เมื่อ JS ได้รับ " status: 204" มันจะตรวจสอบการมีอยู่ของx-status: 308ส่วนหัวและทำ document.redirect ไปยังหน้าที่ให้ไว้ในlocationส่วนหัว

สิ่งนี้มีเหตุผลสำหรับคุณหรือไม่?

บางคนอาจพบว่ามีประโยชน์ด้านล่าง:

ฉันต้องการให้ลูกค้าเปลี่ยนเส้นทางไปยังหน้าเข้าสู่ระบบสำหรับการกระทำใด ๆ ที่ส่งโดยไม่มีโทเค็นการให้สิทธิ์ เนื่องจากการกระทำทั้งหมดของฉันเป็นไปตามอาแจ็กซ์ฉันจึงต้องมีวิธีทั่วไปที่ดีในการเปลี่ยนเส้นทางไปยังหน้าเข้าสู่ระบบแทนการจัดการฟังก์ชั่นความสำเร็จของอาแจ็กซ์

นี่คือสิ่งที่ฉันทำ:

ในคำขอ Ajax ใด ๆ เซิร์ฟเวอร์ของฉันจะส่งคืนคำตอบ Json 200 "ต้องเป็นผู้มีอำนาจ" (หากลูกค้าต้องการตรวจสอบสิทธิ์)

ตัวอย่างง่ายๆใน Java (ฝั่งเซิร์ฟเวอร์):

@Secured
@Provider
@Priority(Priorities.AUTHENTICATION)
public class AuthenticationFilter implements ContainerRequestFilter {

    private final Logger m_logger = LoggerFactory.getLogger(AuthenticationFilter.class);

    public static final String COOKIE_NAME = "token_cookie"; 

    @Override
    public void filter(ContainerRequestContext context) throws IOException {        
        // Check if it has a cookie.
        try {
            Map<String, Cookie> cookies = context.getCookies();

            if (!cookies.containsKey(COOKIE_NAME)) {
                m_logger.debug("No cookie set - redirect to login page");
                throw new AuthenticationException();
            }
        }
        catch (AuthenticationException e) {
            context.abortWith(Response.ok("\"NEED TO AUTHENTICATE\"").type("json/application").build());
        }
    }
}

ใน Javascript ของฉันฉันได้เพิ่มรหัสต่อไปนี้:

$.ajaxPrefilter(function(options, originalOptions, jqXHR) {
    var originalSuccess = options.success;

    options.success = function(data) {
        if (data == "NEED TO AUTHENTICATE") {
            window.location.replace("/login.html");
        }
        else {
            originalSuccess(data);
        }
    };      
});

และนั่นคือเกี่ยวกับมัน

ใน servlet คุณควร response.setStatus(response.SC_MOVED_PERMANENTLY); ส่งสถานะ '301' xmlHttp ที่คุณต้องการสำหรับการเปลี่ยนเส้นทาง ...

และในฟังก์ชัน $ .ajax คุณไม่ควรใช้.toString()ฟังก์ชัน ... เพียง

if (xmlHttp.status == 301) { top.location.href = 'xxxx.jsp'; }

ปัญหาคือมันไม่ยืดหยุ่นมากคุณไม่สามารถตัดสินใจได้ว่าคุณต้องการเปลี่ยนเส้นทางที่ใด ..

การเปลี่ยนเส้นทางผ่านเซิร์ฟเล็ตควรเป็นวิธีที่ดีที่สุด แต่ฉันก็ยังหาวิธีที่ถูกต้องไม่ได้

ฉันแค่อยากจะดึงคำขอ ajax ใด ๆ สำหรับทั้งหน้า @ SuperG ให้ฉันเริ่มต้น นี่คือสิ่งที่ฉันลงเอยด้วย:

// redirect ajax requests that are redirected, not found (404), or forbidden (403.)
$('body').bind('ajaxComplete', function(event,request,settings){
        switch(request.status) {
            case 301: case 404: case 403:                    
                window.location.replace("http://mysite.tld/login");
                break;
        }
});

ฉันต้องการตรวจสอบรหัสสถานะ http บางอย่างเพื่อระบุการตัดสินใจของฉัน อย่างไรก็ตามคุณสามารถผูกไว้กับ ajaxError เพื่อรับสิ่งอื่นนอกเหนือจากความสำเร็จ (บางทีอาจเป็นแค่ 200 เท่านั้น) ฉันอาจจะเขียน:

$('body').bind('ajaxError', function(event,request,settings){
    window.location.replace("http://mysite.tld/login");
}

หากคุณต้องการส่งผ่านค่าจากนั้นคุณยังสามารถตั้งค่าตัวแปรเซสชันและการเข้าถึงเช่น: ใน jsp ของคุณคุณสามารถเขียน

<% HttpSession ses = request.getSession(true);
   String temp=request.getAttribute("what_you_defined"); %>

จากนั้นคุณสามารถเก็บค่าอุณหภูมินี้ไว้ในตัวแปรจาวาสคริปต์ของคุณและเล่นไปเรื่อย ๆ

ฉันไม่ประสบความสำเร็จกับโซลูชันส่วนหัว - พวกเขาไม่เคยเลือกวิธี ajaxSuccess / ajaxComplete ของฉัน ฉันใช้คำตอบของ Steg กับการตอบกลับที่กำหนดเอง แต่ฉันแก้ไขบางส่วนของ JS ฉันตั้งค่าวิธีการที่ฉันเรียกใช้ในแต่ละฟังก์ชั่นเพื่อให้ฉันสามารถใช้มาตรฐาน$.getและ$.postวิธีการได้

function handleAjaxResponse(data, callback) {
    //Try to convert and parse object
    try {
        if (jQuery.type(data) === "string") {
            data = jQuery.parseJSON(data);
        }
        if (data.error) {
            if (data.error == 'login') {
                window.location.reload();
                return;
            }
            else if (data.error.length > 0) {
                alert(data.error);
                return;
            }
        }
    }
    catch(ex) { }

    if (callback) {
        callback(data);
    }
}

ตัวอย่างของการใช้งาน ...

function submitAjaxForm(form, url, action) {
    //Lock form
    form.find('.ajax-submit').hide();
    form.find('.loader').show();

    $.post(url, form.serialize(), function (d) {
        //Unlock form
        form.find('.ajax-submit').show();
        form.find('.loader').hide();

        handleAjaxResponse(d, function (data) {
            // ... more code for if auth passes ...
        });
    });
    return false;
}

HTTP Headerสุดท้ายผมแก้ปัญหาโดยการเพิ่มที่กำหนดเอง ก่อนการตอบสนองสำหรับทุกคำขอในฝั่งเซิร์ฟเวอร์ฉันเพิ่ม URL ที่ร้องขอปัจจุบันไปยังส่วนหัวของการตอบกลับ

แอปพลิเคชันของฉันบนเซิร์ฟเวอร์คือAsp.Net MVCและมีสถานที่ที่น่าสนใจ ในGlobal.asaxฉันใช้งานApplication_EndRequestเหตุการณ์ดังนั้น:

    public class MvcApplication : System.Web.HttpApplication
    {

    //  ...
    //  ...

        protected void Application_EndRequest(object sender, EventArgs e)
        {
            var app = (HttpApplication)sender;
            app.Context.Response.Headers.Add("CurrentUrl",app.Context. Request.CurrentExecutionFilePath);
        }

    }

มันใช้งานได้สมบูรณ์แบบสำหรับฉัน! ตอนนี้ในการตอบสนองของทุกJQuery $.postฉันได้รับการร้องขอurlและส่วนหัวของการตอบสนองอื่น ๆ ที่มาเป็นผลมาจากPOSTวิธีการตามสถานะ302,303 ...

และสิ่งสำคัญอื่น ๆ คือไม่จำเป็นต้องแก้ไขโค้ดในฝั่งเซิร์ฟเวอร์หรือฝั่งไคลเอ็นต์

และต่อไปคือความสามารถในการเข้าถึงข้อมูลอื่น ๆ ของการโพสต์การกระทำข้อผิดพลาดข้อความและ ... ในวิธีนี้

ฉันโพสต์สิ่งนี้อาจช่วยใครบางคน :)

ฉันพบปัญหานี้ในแอพ django ที่ฉันกำลังแก้ไข (ข้อจำกัดความรับผิดชอบ: ฉันกำลังจะเรียนรู้และฉันไม่ชำนาญ) สิ่งที่ฉันต้องการทำคือใช้ jQuery ajax เพื่อส่งคำขอ DELETE ไปยังทรัพยากรลบมันบนฝั่งเซิร์ฟเวอร์จากนั้นส่งการเปลี่ยนเส้นทางกลับไปที่ (โดยทั่วไป) โฮมเพจ เมื่อฉันส่งHttpResponseRedirect('/the-redirect/')จากสคริปต์ python วิธี ajax ของ jQuery ได้รับ 200 แทน 302 ดังนั้นสิ่งที่ฉันทำคือส่งการตอบกลับ 300 ด้วย:

response = HttpResponse(status='300')
response['Location'] = '/the-redirect/' 
return  response

จากนั้นฉันก็ส่ง / จัดการคำขอบนไคลเอนต์ด้วย jQuery.ajax ดังนี้:

<button onclick="*the-jquery*">Delete</button>

where *the-jquery* =
$.ajax({ 
  type: 'DELETE', 
  url: '/resource-url/', 
  complete: function(jqxhr){ 
    window.location = jqxhr.getResponseHeader('Location'); 
  } 
});

บางทีการใช้ 300 อาจไม่ถูกต้อง แต่อย่างน้อยก็ใช้ได้เหมือนที่ฉันต้องการ

PS: นี่เป็นความเจ็บปวดอย่างมากในการแก้ไข SO เวอร์ชันมือถือ ISP ที่โง่ทำให้คำขอการยกเลิกบริการของฉันถูกต้องเมื่อฉันตอบคำถามเสร็จแล้ว!

คุณยังสามารถขอ XMLHttpRequest ส่งต้นแบบ สิ่งนี้จะใช้ได้กับการส่งทั้งหมด (jQuery / dojo / etc) ด้วยตัวจัดการเดียว

ฉันเขียนโค้ดนี้เพื่อจัดการข้อผิดพลาดที่หมดอายุ 500 หน้า แต่มันควรจะทำงานเช่นกันเพื่อดักจับการเปลี่ยนเส้นทาง 200 พร้อมรายการ wikipedia บนXMLHttpRequest onreadystatechange เกี่ยวกับความหมายของ readyState

// Hook XMLHttpRequest
var oldXMLHttpRequestSend = XMLHttpRequest.prototype.send;

XMLHttpRequest.prototype.send = function() {
  //console.dir( this );

  this.onreadystatechange = function() {
    if (this.readyState == 4 && this.status == 500 && this.responseText.indexOf("Expired") != -1) {
      try {
        document.documentElement.innerHTML = this.responseText;
      } catch(error) {
        // IE makes document.documentElement read only
        document.body.innerHTML = this.responseText;
      }
    }
  };

  oldXMLHttpRequestSend.apply(this, arguments);
}

นอกจากนี้คุณอาจต้องการเปลี่ยนเส้นทางผู้ใช้ไปยัง URL ที่กำหนดในส่วนหัว ดังนั้นในที่สุดมันจะเป็นดังนี้:

$.ajax({
    //.... other definition
    complete:function(xmlHttp){
        if(xmlHttp.status.toString()[0]=='3'){
        top.location.href = xmlHttp.getResponseHeader('Location');
    }
});

UPD: Opps มีงานเดียวกัน แต่ไม่ได้ผล ทำสิ่งนี้ ฉันจะแสดงวิธีแก้ปัญหาให้คุณเมื่อฉันพบมัน

ฉันได้รับการทำงานโดยใช้คำตอบจาก ลิงค์ @John และ @Arpad และ @RobWinchลิงก์

ฉันใช้ Spring Security 3.2.9 และ jQuery 1.10.2

ขยายคลาสของ Spring เพื่อให้เกิดการตอบสนอง 4XX จากคำขอ AJAX เท่านั้น:

public class CustomLoginUrlAuthenticationEntryPoint extends LoginUrlAuthenticationEntryPoint {

    public CustomLoginUrlAuthenticationEntryPoint(final String loginFormUrl) {
        super(loginFormUrl);
    }

    // For AJAX requests for user that isn't logged in, need to return 403 status.
    // For normal requests, Spring does a (302) redirect to login.jsp which the browser handles normally.
    @Override
    public void commence(final HttpServletRequest request,
                         final HttpServletResponse response,
                         final AuthenticationException authException)
            throws IOException, ServletException {
        if ("XMLHttpRequest".equals(request.getHeader("X-Requested-With"))) {
            response.sendError(HttpServletResponse.SC_FORBIDDEN, "Access Denied");
        } else {
            super.commence(request, response, authException);
        }
    }
}

ApplicationContext-security.xml

  <security:http auto-config="false" use-expressions="true" entry-point-ref="customAuthEntryPoint" >
    <security:form-login login-page='/login.jsp' default-target-url='/index.jsp'                             
                         authentication-failure-url="/login.jsp?error=true"
                         />    
    <security:access-denied-handler error-page="/errorPage.jsp"/> 
    <security:logout logout-success-url="/login.jsp?logout" />
...
    <bean id="customAuthEntryPoint" class="com.myapp.utils.CustomLoginUrlAuthenticationEntryPoint" scope="singleton">
        <constructor-arg value="/login.jsp" />
    </bean>
...
<bean id="requestCache" class="org.springframework.security.web.savedrequest.HttpSessionRequestCache">
    <property name="requestMatcher">
      <bean class="org.springframework.security.web.util.matcher.NegatedRequestMatcher">
        <constructor-arg>
          <bean class="org.springframework.security.web.util.matcher.MediaTypeRequestMatcher">
            <constructor-arg>
              <bean class="org.springframework.web.accept.HeaderContentNegotiationStrategy"/>
            </constructor-arg>
            <constructor-arg value="#{T(org.springframework.http.MediaType).APPLICATION_JSON}"/>
            <property name="useEquals" value="true"/>
          </bean>
        </constructor-arg>
      </bean>
    </property>
</bean>

ใน JSP ของฉันเพิ่มตัวจัดการข้อผิดพลาด AJAX ทั่วโลกตามที่แสดงไว้ที่นี่

  $( document ).ajaxError(function( event, jqxhr, settings, thrownError ) {
      if ( jqxhr.status === 403 ) {
          window.location = "login.jsp";
      } else {
          if(thrownError != null) {
              alert(thrownError);
          } else {
              alert("error");
          }
      }
  });

และลบตัวจัดการข้อผิดพลาดที่มีอยู่ออกจากการโทร AJAX ในหน้า JSP:

        var str = $("#viewForm").serialize();
        $.ajax({
            url: "get_mongoDB_doc_versions.do",
            type: "post",
            data: str,
            cache: false,
            async: false,
            dataType: "json",
            success: function(data) { ... },
//            error: function (jqXHR, textStatus, errorStr) {
//                 if(textStatus != null)
//                     alert(textStatus);
//                 else if(errorStr != null)
//                     alert(errorStr);
//                 else
//                     alert("error");
//            }
        });

ฉันหวังว่ามันจะช่วยผู้อื่น

Update1 ฉันพบว่าฉันจำเป็นต้องเพิ่มตัวเลือก (always-use-default-target = "true") ในการกำหนดค่าแบบฟอร์มการเข้าสู่ระบบ สิ่งนี้จำเป็นเนื่องจากหลังจากที่คำขอ AJAX ถูกเปลี่ยนเส้นทางไปยังหน้าเข้าสู่ระบบ (เนื่องจากเซสชันหมดอายุ) Spring จะจดจำคำขอ AJAX ก่อนหน้าและเปลี่ยนเส้นทางอัตโนมัติไปยังหน้าหลังจากเข้าสู่ระบบ สิ่งนี้ทำให้ JSON ที่ส่งคืนถูกแสดงบนหน้าเบราว์เซอร์ แน่นอนไม่ใช่สิ่งที่ฉันต้องการ

Update2 แทนที่จะใช้always-use-default-target="true"ให้ใช้ @RobWinch ตัวอย่างของการบล็อกคำขอ AJAX จาก requstCache วิธีนี้ช่วยให้ลิงก์ปกติสามารถเปลี่ยนเส้นทางไปยังเป้าหมายดั้งเดิมของพวกเขาหลังจากเข้าสู่ระบบ แต่ AJAX ไปที่หน้าแรกหลังจากเข้าสู่ระบบ