ASP.NET Web API: วิธีที่ถูกต้องในการส่งคืนการตอบกลับ 401 / ไม่ได้รับอนุญาต

ฉันมีเว็บไซต์ MVC ที่ใช้การตรวจสอบสิทธิ์ OAuth / โทเค็นเพื่อตรวจสอบสิทธิ์คำขอ ตัวควบคุมที่เกี่ยวข้องทั้งหมดมีคุณสมบัติที่ถูกต้องและการตรวจสอบความถูกต้องก็ใช้ได้

ปัญหาคือไม่ใช่ทุกคำขอที่สามารถได้รับอนุญาตในขอบเขตของแอตทริบิวต์ - การตรวจสอบการอนุญาตบางอย่างจะต้องดำเนินการในรหัสที่เรียกโดยวิธีการควบคุม - วิธีที่ถูกต้องในการส่งคืนการตอบกลับที่ไม่ได้รับอนุญาต 401 ในกรณีนี้คืออะไร?

ฉันได้ลองthrow new HttpException(401, "Unauthorized access");แล้ว แต่เมื่อฉันทำสิ่งนี้รหัสสถานะการตอบกลับคือ 500 และฉันก็ได้รับสแต็กแทร็กด้วย แม้แต่ใน DelegatingHandler ในการบันทึกของเราเราจะเห็นว่าการตอบสนองคือ 500 ไม่ใช่ 401

คุณควรใช้HttpResponseExceptionวิธี API ของคุณไม่ใช่HttpException:

throw new HttpResponseException(HttpStatusCode.Unauthorized);

หรือหากคุณต้องการส่งข้อความที่กำหนดเอง:

var msg = new HttpResponseMessage(HttpStatusCode.Unauthorized) { ReasonPhrase = "Oops!!!" };
throw new HttpResponseException(msg);

เพียงส่งคืนสิ่งต่อไปนี้:

return Unauthorized();

แทนคำตอบอื่น ๆ คุณยังสามารถใช้รหัสนี้หากคุณต้องการส่งคืนIActionResultภายในตัวควบคุม ASP.NET

ASP.NET

 return Content(HttpStatusCode.Unauthorized, "My error message");

อัปเดต: ASP.NET Core

โค้ดด้านบนใช้ไม่ได้ใน ASP.NET Core คุณสามารถใช้อย่างใดอย่างหนึ่งต่อไปนี้แทน:

 return StatusCode((int)System.Net.HttpStatusCode.Unauthorized, "My error message");
 return StatusCode(Microsoft.AspNetCore.Http.StatusCodes.Status401Unauthorized, "My error message");
 return StatusCode(401, "My error message");

เห็นได้ชัดว่าวลีเหตุผลนั้นค่อนข้างเป็นทางเลือก ( การตอบสนอง HTTP สามารถละเว้น Reason-Phrase ได้หรือไม่? )

คุณได้รับรหัสตอบกลับ 500 เนื่องจากคุณกำลังส่งข้อยกเว้น (the HttpException) ซึ่งบ่งบอกถึงข้อผิดพลาดบางอย่างของเซิร์ฟเวอร์ซึ่งเป็นแนวทางที่ไม่ถูกต้อง

เพียงตั้งรหัสสถานะการตอบกลับ. e

Response.StatusCode = (int)HttpStatusCode.Unauthorized;

ในการเพิ่มคำตอบที่มีอยู่ใน ASP.NET Core> = 1.0 คุณสามารถทำได้

return Unauthorized();

return Unauthorized(object value);

ในการส่งข้อมูลไปยังลูกค้าคุณสามารถโทรได้ดังนี้:

return Unauthorized(new { Ok = false, Code = Constants.INVALID_CREDENTIALS, ...});

บนไคลเอนต์นอกเหนือจากการตอบสนอง 401 คุณจะมีข้อมูลที่ส่งผ่านไปด้วย ตัวอย่างเช่นลูกค้าส่วนใหญ่คุณสามารถawait response.json()รับได้

ใน. Net Core คุณสามารถใช้ไฟล์

return new ForbidResult();

แทน

return Unauthorized();

ซึ่งมีข้อดีในการเปลี่ยนเส้นทางไปยังเพจที่ไม่ได้รับอนุญาตเริ่มต้น (บัญชี / AccessDenied) แทนที่จะให้ 401 ตรงๆ

ในการเปลี่ยนตำแหน่งเริ่มต้นให้แก้ไข startup.cs ของคุณ

services.AddAuthentication(options =>...)
            .AddOpenIdConnect(options =>...)
            .AddCookie(options =>
            {
                options.AccessDeniedPath = "/path/unauthorized";

            })

คุณสามารถใช้รหัสติดตามใน asp.net core 2.0:

public IActionResult index()
{
     return new ContentResult() { Content = "My error message", StatusCode = (int)HttpStatusCode.Unauthorized };
}

คุณทำตามรหัสนี้ด้วย:

var response = new HttpResponseMessage(HttpStatusCode.NotFound)
{
      Content = new StringContent("Users doesn't exist", System.Text.Encoding.UTF8, "text/plain"),
      StatusCode = HttpStatusCode.NotFound
 }
 throw new HttpResponseException(response);