我一直在学习 ASP.Net WebApi 中的授权是如何工作的,并且我在另一篇文章(ASP.NET Web API 身份验证)中遇到了 Darin Dimitrov 的回答,我需要一些帮助来理解为什么我会得到 401。
按照 Darin 的代码,我创建了一个 WebApi 项目并添加了以下控制器和模型:
AccountController.cs
using System.Web.Http;
using System.Web.Security;
using AuthTest.Models;
namespace AuthTest.Controllers
{
public class AccountController : ApiController
{
public bool Post(LogOnModel model)
{
if (model.Username == "john" && model.Password == "secret")
{
FormsAuthentication.SetAuthCookie(model.Username, false);
return true;
}
return false;
}
}
}
用户控制器.cs
using System.Web.Http;
namespace AuthTest.Controllers
{
[Authorize]
public class UsersController : ApiController
{
public string Get()
{
return "This is top secret material that only authorized users can see";
}
}
}
登录模型.cs
namespace AuthTest.Models
{
public class LogOnModel
{
public string Username { get; set; }
public string Password { get; set; }
}
}
我创建了一个带有两个按钮和一个标签的 Web 表单应用程序,用于测试目的。
默认.aspx.cs
using System;
using System.Net.Http;
using System.Threading;
namespace AuthTestWebForms
{
public partial class _Default : System.Web.UI.Page
{
protected void Page_Load(object sender, EventArgs e)
{
}
protected void ButtonAuthorizeClick(object sender, EventArgs e)
{
using (var httpClient = new HttpClient())
{
var response = httpClient.PostAsJsonAsync(
"http://localhost/authtest/api/account",
new { username = "john", password = "secret" },
CancellationToken.None
).Result;
response.EnsureSuccessStatusCode();
bool success = response.Content.ReadAsAsync<bool>().Result;
if (success)
{
//LabelResponse.Text = @"Credentials provided";
var secret = httpClient.GetStringAsync("http://localhost/authtest/api/users");
LabelResponse.Text = secret.Result;
}
else
{
LabelResponse.Text = @"Sorry, you provided the wrong credentials";
}
}
}
protected void ButtonTestAuthClick(object sender, EventArgs e)
{
using (var httpClient = new HttpClient())
{
var secret = httpClient.GetStringAsync("http://localhost/authtest/api/users");
LabelResponse.Text = secret.Result;
}
}
}
}
当我单击按钮并运行 ButtonAuthorizeClick() 时,它会触发 Account 的控制器,然后触发 Users 的控制器,一切都很好。
如果我然后单击 ButtonTestAuthClick(),则会收到 401(未经授权)错误。
当我在 Chrome 或 FireFox 中寻找 ASPXAUTH cookie 时,我没有看到一个,所以我不能 100% 确定为什么 ButtonAuthorizeClick() 有效,以及我需要做什么才能使 ButtonTestAuthClick() 有效。
感谢任何人都可以帮助我。