那些遇到过的问题

使用IIS基本身份验证的OWIN身份验证

Fab*_*bio 6 iis asp.net-mvc owin

我创建了一个新的ASP.NET MVC 5应用程序,它具有Visual Studio 2013和Owin Middleware提供的默认访问控制.

我在IIS上启用了基本身份验证(禁用所有其他身份验证),以保护站点免受那些没有我在Windows上创建的用户/密码的人的攻击.它导致浏览器中的"重定向循环".

有什么想法吗?如何在不更改代码的情况下保护网站?

qbi*_*bik 6

默认情况下,文件Startup.Auth.cs中会出现如下内容:

 app.UseCookieAuthentication(new CookieAuthenticationOptions
            {
                AuthenticationType = DefaultAuthenticationTypes.ApplicationCookie,
                LoginPath = new PathString("/Main/Account/Login"),
                CookieName = "OwinAuthCookie",
            });
Run Code Online (Sandbox Code Playgroud)

在IIS中启用基本身份验证时,会发生以下情况:

  1. IIS基本身份验证模块看到没有身份验证标头,因此它返回一个HTTP 401 Response.
  2. 响应不会立即返回,但由Owin处理.
  3. Owin看到了请求401 (Unauthorized) Response,所以它重定向到配置LoginPath.
  4. 您的浏览器处理重定向,尝试打开新的URL,然后我们回到第1点.这是循环.

您可以做的是在上面的代码中注释掉LoginPath属性.这应该停止重定向循环,但也可以(但不必,取决于您的实现)中断应用程序用户的身份验证.

我最终得到的是实现一个小的Owin中间件并自己进行基本身份验证.

这些链接可能会有所帮助:

归档时间:

查看次数:

1450 次

最近记录:

11 年 前
相关归档
版本3.0.0.1的ASP.NET MVC安全补丁打破了构建 107
将Json对象从控制器操作返回到jQuery 15
当我在"配置Web部署发布对话框"中选择用户时,为什么IIS管理会崩溃? 11
ValueProvider不包含TryGetValue的定义 9
HTTP错误403.4 - 禁止 8
如何检查MVC Core配置文件中是否存在某个部分? 8
启动Internet信息服务时,mmc无法创建快照 7
具有ASP.NET Web API的ReactJs多个外部身份验证提供程序 5
Azure AD和ASP.NET Identity + OWIN,使用哪种方法? 2
虽然安装了Microsoft.ACE.OLEDB.12.0,但未在本地计算机上注册"Microsoft.ACE.OLEDB.12.0"提供程序 1
难疑归档
JavaScript中使用"严格"做什么,背后的原因是什么? 7339
在'for'循环中访问索引? 3312
电话和申请有什么区别? 3012
403 Forbidden vs 401 Unauthorized HTTP响应 2544
将字节转换为字符串? 1968
对于数组,为什么a [5] == 5 [a]? 1567
如何修复java.lang.UnsupportedClassVersionError:不支持的major.minor版本 1532
为什么将0.1f改为0会使性能降低10倍? 1491
使用Twitter Bootstrap 3将列居中 1109
Objective-C中的typedef枚举是什么? 1081