未经授权的结果AJAX请求

Question

我有许多Ajax应用程序（使用JQuery.ajax实现），返回JSON或HTML。其中一些应该只能被授权用户访问，并且我用[Authorize]属性来装饰它们。对于非Ajax操作，如果用户未授权 - 系统将他重定向到登录页面（在web.config中配置）。

但是这不适用于ajax动作，因为如果用户被授权 - 他加载页面，在该cookie过期并且他没有被授权之后，而不是html块，它应该替换旧的，他让我的登录页面进入块。

我知道我可以手动解决这个问题，例如删除[Authorize]属性，并返回特殊的json /空html，如果用户没有授权。但我不喜欢这个解决方案，因为我需要重写我所有的动作和ajax函数。我想要全局解决方案，允许我不要重写我的操作（可能是自定义授权属性，或者某些http未经授权的结果自定义处理）。

我想返回状态码，如果请求是ajax，并且重定向到登录页面，如果请求不是ajax。

Answer 1

将application_endrequest处理程序添加到global.asax.cs中的代码中，该代码将任何302错误（重定向到登录页面）修改为针对AJAX请求的401（未授权）错误。这将允许您简单地将控制器操作保持原样并通过客户端处理重定向（如果用户当前不在，则只能让用户再次登录）。

protected void Application_EndRequest() 
{ 
    // Any AJAX request that ends in a redirect should get mapped to an unauthorized request 
    // since it should only happen when the request is not authorized and gets automatically 
    // redirected to the login page. 
    var context = new HttpContextWrapper(Context); 
    if (context.Response.StatusCode == 302 && context.Request.IsAjaxRequest()) 
    { 
     context.Response.Clear(); 
     Context.Response.StatusCode = 401; 
    } 
} 

然后在你的_Layout.cshtml文件添加一个重定向到您的登录操作时，它得到一个401响应全球AJAX错误处理程序。

<script type="text/javascript"> 
    $(function() { 
     $(document).ajaxError(function (e, xhr, settings) { 
      if (xhr.status == 401) { 
       location = '@Url.Action("login", "account")'; 
      } 
     }); 
    }); 
</script> 

你可能也想尝试一些在菲尔哈克的博客列出的技术，Prevent Forms Authentication Login Page Redirect When You Don’t Want It

Answer 2

您不必重写所有操作，只需创建一个自定义过滤器来替换内置的Authorize过滤器。

asp.net mvc [handleerror] [authorize] with JsonResult?

Answer 3

您可以检查Request.IsAjaxRequest（）扩展方法，并采取具体行动，如果它是真实的前

其他人都做到了。

Answer 4

也许在你的AccountController（或任何你拥有它）您的登录行为可能会返回不同的结果，如果Request.IsAjaxRequest()是真正。

这意味着，如果一个AJAX调用授权的行动授权失败，你应该能够返回通过登录行动作出适当的反应..

例如

public ActionResult LogOn() 
{ 
    if (Request.IsAjaxRequest()) 
    { 
     // do appropriate response for ajax call here 
    } 

    return View(); 
} 

然后，你不应该需要做重大修改