我通过发送会话令牌来使用自定义身份验证机制。在 DelegatingHandler 中检查令牌的存在,该处理程序相应地设置当前主体。如果 principal 没有被授权调用 ApiController 方法,控制器会发送 401 Unauthorized 状态。由于 RFC 2616 要求在发送 401 响应时始终设置 WWW-Authenticate 标头,因此我的 DelegatingHandler 会处理此问题。
现在,在 Web API 自托管的场景中,应该以 401 响应的请求在 Windows 7 上正常工作,但在 Windows Server 2003 上,它会因“远程主机强制关闭现有连接”异常而终止。此外,我注意到控制器方法中的断点在 W2k3 上被击中两次,而在 Win7 中则被击中两次,就好像 HttpClient 在收到 401 响应时以某种方式重试了请求。
当我取消注释带有 WWW-Authenticate 标头的行时,程序可以正常工作。请参阅下面的代码示例,了解控制台应用程序中的简约再现示例。
测试控制器.cs:
public class TestController : ApiController
{
public HttpResponseMessage Get()
{
return Request.CreateErrorResponse(HttpStatusCode.Unauthorized, "go away");
}
}
AuthenticationHandler.cs:
public class AuthenticationHandler : DelegatingHandler
{
protected override Task<HttpResponseMessage> SendAsync(HttpRequestMessage request, CancellationToken cancellationToken)
{
return base.SendAsync(request, cancellationToken).ContinueWith<HttpResponseMessage>(task =>
{
HttpResponseMessage response = task.Result;
if ( response.StatusCode == HttpStatusCode.Unauthorized &&
!response.Headers.Contains("WWW-Authenticate") )
{
// comment out this line and the code works
response.Headers.Add("WWW-Authenticate", "SessionToken");
}
return response;
});
}
}
程序.cs:
static void Main(string[] args)
{
HttpSelfHostConfiguration config = new HttpSelfHostConfiguration("http://localhost:81");
config.Routes.MapHttpRoute(
name: "DefaultApi",
routeTemplate: "api/{controller}"
);
config.MessageHandlers.Add(new AuthenticationHandler());
using ( HttpSelfHostServer server = new HttpSelfHostServer(config) )
using ( HttpClient client = new HttpClient() )
{
server.OpenAsync().Wait();
try
{
HttpResponseMessage response = client.GetAsync("http://localhost:81/api/test").Result;
Console.Out.WriteLine(response.StatusCode);
}
catch ( AggregateException ex )
{
Console.Out.WriteLine(ex.ToString());
}
server.CloseAsync().Wait();
}
Console.In.ReadLine();
}
我是否正确调用 API?有什么想法可能是错的吗?