Dam*_*ver 7 c# authentication owin
我编写了一个相当基本的AuthenticationHandler<T>派生类,用于为我的REST服务执行自定义身份验证.
我曾经假设(是的,我知道,糟糕的主意)ApplyResponseChallengeAsync只有在我真正需要应用我的挑战时才会被调用 - 例如它被描述为:
如果有问题的身份验证方案将身份验证交互作为其请求流的一部分进行处理,则将此方法重写为具有401质询问题的dela(原文如此).(例如添加响应标头,或将401结果更改为登录页面或外部登录位置的302.)
这听起来只有在发出401时才会被调用.但是,在一些有限的测试中,我们看到一些例外如下:
System.Web.HttpException (0x80004005): Server cannot append header after HTTP headers have been sent.
at System.Web.HttpHeaderCollection.SetHeader(String name, String value, Boolean replace)
at Microsoft.Owin.Host.SystemWeb.CallHeaders.AspNetResponseHeaders.Set(String key, String[] values)
at Microsoft.Owin.Infrastructure.OwinHelpers.AppendHeader(IDictionary`2 headers, String key, String values)
at OurAuthHandler.ApplyResponseChallengeAsync()
at Microsoft.Owin.Security.Infrastructure.AuthenticationHandler.<ApplyResponseCoreAsync>d__8.MoveNext()
--- End of stack trace from previous location where exception was thrown ---
at System.Runtime.CompilerServices.TaskAwaiter.ThrowForNonSuccess(Task task)
at System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task)
at Microsoft.Owin.Security.Infrastructure.AuthenticationHandler.<TeardownAsync>d__5.MoveNext()
--- And so on
因此,想要对此进行调查,我稍微更改了方法中的代码,以便我可以使用调试器来检查发生此异常的情况:
protected override Task ApplyResponseChallengeAsync()
{
try
{
foreach (var uri in Options.IdentityConfiguration.AudienceRestriction.AllowedAudienceUris)
{
Response.Headers.Append("WWW-Authenticate", "Bearer realm=\"" + uri + "\"");
}
return base.ApplyResponseChallengeAsync();
}
catch
{
throw; //Set a breakpoint here
}
}
并且,瞧,当我的断点被击中时,我看到Responses状态代码是200/OK.
所以,问题是,我本来是要自己检查状态代码,是否有一些标志我必须传递/设置在某处,以便这个方法只调用401s,或者我错过了其他的东西?
是的,您必须自己检查状态代码。该文档具有误导性。
请注意Katana 项目中的每个现有AuthenticationHandlers如何检查状态代码:
public class OpenIdConnectAuthenticationHandler : AuthenticationHandler<OpenIdConnectAuthenticationOptions>
{
...
protected override async Task ApplyResponseChallengeAsync()
{
if (Response.StatusCode == 401)
{
....
}
}
...
}
internal class TwitterAuthenticationHandler : AuthenticationHandler<TwitterAuthenticationOptions>
{
...
[System.Diagnostics.CodeAnalysis.SuppressMessage("Microsoft.Usage", "CA2202:Do not dispose objects multiple times", Justification = "MemoryStream.Dispose is idempotent")]
protected override async Task ApplyResponseChallengeAsync()
{
if (Response.StatusCode != 401)
{
return;
}
}
...
}
public class WsFederationAuthenticationHandler : AuthenticationHandler<WsFederationAuthenticationOptions>
{
...
protected override async Task ApplyResponseChallengeAsync()
{
if (Response.StatusCode == 401)
{
...
}
}
...
}
我还检查了 Katana 项目的源代码:没有办法通过标志或其他东西来改变这种行为。
| 归档时间: |
|
| 查看次数: |
1297 次 |
| 最近记录: |