54

我有一个使用表单身份验证用 asp.net mvc 编写的后端服务器。当用户未通过身份验证时,服务器会自动发送 302 重定向到登录操作并返回登录页面。

在客户端,我有一个项目列表。此列表仅供经过身份验证的用户访问。在页面上,我有一个使用 Ajax(jQuery 的 $.ajax 函数)刷新列表的按钮。

现在,我的问题是当身份验证票超时并且用户单击刷新按钮时:

  • 我的函数发送一个 ajax 请求以获取刷新的列表
  • 服务器检测到身份验证票证无效并发出 302 重定向。
  • 浏览器自动处理该 302 响应并强制我的 ajax 函数向 Login 操作发送另一个 ajax 请求,最终结果是一个状态为 200 的 HTML。我的脚本很困惑,因为该列表也是一个状态为 200 的 HTML。

我想要的是当身份验证票超时并且用户单击刷新按钮时,我应该能够检测到并显示一条消息,要求用户登录。

我尝试通过在登录操作中添加自定义标头 (IS_LOGIN) 并在我的 ajax 响应中检查它来解决此问题。但这不是一个好的解决方案。

所以我的问题是:

  • 处理这个问题的最佳方法是什么?
  • 为什么浏览器不让我们的脚本处理 302 响应?并且只是自动强制我们的 ajax 创建另一个请求。这是浏览器或jquery库的问题?这有什么原因吗?(安全,...)

感谢您的任何回复。

4

1 回答 1

46

当它是 XHR 时,您不应该重定向呼叫,而是用 a 响应401 Unauthorized并在您的回调中处理它。我不知道 ASP.NET,但我对 Spring Security 做了类似的事情。

继承人的概念:

  • 获取认证状态
  • 检查标题X-Requested-With: XMLHttpRequest
  • 当找到且未通过身份验证时,回复401 Unauthorized
  • 未找到且未经过身份验证的重定向。

底线是在某些情况下,XHR 调用需要与其他 HTTP 请求不同的处理方式。如果相同的资源位于另一个位置,您应该只重定向 XHR。

回答你的问题

您无法使用 XHR 回调处理重定向,因为浏览器会自动处理它们。您只会取回重定向位置的内容。

于 2013-04-14T08:03:31.803 回答