在用户注销 ASP.NET 后使用 [Authorize] 属性发布 Ajax 表单

POSTing Ajax form using [Authorize] attribute after the user is logged out ASP.NET

简介

我正在使用 C# 中的 ASP.NET MVC 为客户端构建 WebApp。

我在模态 window 中有一个 Ajax 表单,当用户单击按钮时它会被提交。

用户必须登录才能进入此特定页面并执行此特定操作 - 所以我使用 [Authorize] 属性来执行必要的控制器操作。

假设表单正在 POST 的控制器操作看起来像这样 (伪代码,只是一个例子):

[Authorize]
public ActionResult DoAjaxThings(string field, string anotherfield)
{
    // ... do things
    if (success)
    {
        return Json(new { success = true });
    }
    else
    {
        return Json(new { success = false, error = "Something went wrong" });
    }
}

如您所见,我 return 一个 Json 对象返回一个 success 属性 和一个 error(如果需要)。

然后由页面中的回调方法处理,然后显示旋转器和独角兽以及其他魔法。

如果成功,模式将关闭并显示 "success" 消息。

如果不成功并且出现错误 return,则错误 div 会填入我发回的错误消息。听起来很简单?..


场景

假设用户的会话令牌仅持续 15 分钟 - 并且正在滑动(每个新请求都会重置它(不一定对问题至关重要))。他们没有使用 "remember me" 选项。

如果他们在页面上 idle/sitting 的时间超过了分配的时间,则令牌将用完。

显然,此时他们的会话令牌已过期,他们将需要重新登录。

导航到 [Authorize] 控制器操作时会发生通常的行为:使用 ReturnUrl=xyz 查询字符串将用户带回登录页面。


想象一下

所以,回到模态的 Ajax 形式。

用户已在页面上停留 15 分钟,他们的令牌现已过期。

他们单击按钮执行 [Authorize]d 操作...

Action 方法未执行,WebApp return重定向到登录页面。

但是 通过这个 Ajax 调用 return 的是整个登录页面。看到没有 success,回调函数接收到重定向,它压缩了登录页面 - 全部变成了这个小 tiny div.

你不需要我告诉你这看起来很丑陋。


问题

很明显,WebApp实现了[Authorize]属性,用户已经登出

我无法在 Action 中设置任何断点,因为 [Authorize] 接管并自动重定向。

所以,我想问的是:

如何 bypass/overcome/solve 这个问题 [Authorize] 先被触发而 Action 代码块没有被执行?

我们一如既往地感谢您的建议、回答和一般指导。

您可以删除 [Authorize] 属性,检查控制器方法中的授权 (if (User.Identity.IsAuthenticated)),如果用户未被授权,return 向客户端发送适当的错误。

你可以创建一个自定义属性,这样你就可以将它们重定向到登录控制器,到你想要的任何东西 do.what 我所做的是 return 它们到我的 accessdenied 操作。当发生 ajax 错误时,通过 ajax 重定向。

  public class ApiAuthAttribute : AuthorizeAttribute
  {
    protected override void HandleUnauthorizedRequest(AuthorizationContext filterContext)
    {

        if (!filterContext.HttpContext.User.Identity.IsAuthenticated)
        {
            if (filterContext.HttpContext.Request.IsAjaxRequest())
            {
                var urlHelper = new UrlHelper(filterContext.RequestContext);
                filterContext.HttpContext.Response.StatusCode = 403;
                filterContext.Result = new JsonResult
                {
                    Data = new
                    {
                        Error = "NotAuthorized",
                        LogOnUrl = urlHelper.Action("AccessDenied", "Login")
                    },
                    JsonRequestBehavior = JsonRequestBehavior.AllowGet
                };
            }
            else
            {
                base.HandleUnauthorizedRequest(filterContext);
            }
        }



    }

}

检查这个答案redirects to login if unauthorized ajax call