3

我们目前正在开发一个 ASP.NET MVC 5.1 应用程序,用于部署到我们不会控制其 IIS 配置的客户站点。该应用程序使用 ASP.NET Identity 2.0.0 进行身份验证和用户管理。在内部测试期间,我们在运行 Windows Server 2012 R2 和 IIS 8 的测试服务器上的虚拟目录(作为单独的应用程序和单独的应用程序池下)中有不同的实例。

我报告了一个错误,尝试使用以下 URL 登录 -

https://server.domain.com/VirtualDirectory/Account/Login?ReturnUrl=%2fVirtualDirectory

导致用户登录但被重定向回登录页面而不是应用程序根/主页的循环。这里明显的突出点是虚拟目录名称中缺少尾部斜杠。如果提供了编码的尾部斜杠,或者 returnUrl 被省略或不是本地 URL,则应用程序正确重定向成功。

这不是我们的登录逻辑的问题,因为已经登录并位于应用程序根目录的用户将被重定向回登录页面,只需删除虚拟目录名称后的尾部斜杠即可离开 -

https://server.domain.com/VirtualDirectory

根据IIS 在请求不带斜杠的文件夹时生成礼貌重定向-

“当浏览器请求诸如 http://www.servername.de/SubDir之类的 URL 时,浏览器将被重定向到 http://www.servername.de/SubDir/。在 URL 的末尾包含一个斜杠... Internet 信息服务器 (IIS) 首先将 SubDir 视为应返回给浏览器的文件。如果找不到此文件,IIS 会检查是否存在具有此名称的目录。如果具有此名称的目录存在时,将带有 302“对象已移动”响应消息的礼貌重定向返回给浏览器。此消息还包含有关带有尾部斜杠的目录的新位置的信息。反过来,浏览器向带有斜杠的 URL。”

事实上,虽然我得到了 Fiddler 的以下回复-

获取https://server.domain.com/VirtualDirectory

302 重定向到 /VirtualDirectory/Account/Login?ReturnUrl=%2fVirtualDirectory

默认路由未从 Microsoft 模板修改 -

 routes.MapRoute(
                name: "Default",
                url: "{controller}/{action}/{id}",
                defaults: new { controller = "Home", action = "Index", id = UrlParameter.Optional }
            );

家庭控制器装饰有 [Authorize] 属性,这当然需要未经身份验证的用户才能登录。

与身份验证相关的 Web.config 设置是 -

<authentication mode="None">
   <forms cookieless="UseCookies" loginUrl="~/Account/Login" name="OurCompanyAuthentication" timeout="120" />
</authentication>
<authorization>
   <allow users="?" />
   <allow users="*" />
</authorization>

实践证明,forms 元素是必要的,可以正确映射到登录页面并防止继承配置在应用程序的根目录中查找 login.aspx 页面。该配置与 Startup.Auth.cs 的配置相匹配,即 -

app.UseCookieAuthentication(new CookieAuthenticationOptions
{
    AuthenticationType = DefaultAuthenticationTypes.ApplicationCookie,
    CookieHttpOnly = true, //In supported browsers prevent JavaScript from accessing the authentication cookie
    CookieName = "OurCompanyAuthentication",
    CookiePath = VirtualPathUtility.ToAbsolute("~/"),
    ExpireTimeSpan = new TimeSpan(hours: 2, minutes: 0, seconds: 0), //Cookie expires two hours after it is issued
    LoginPath = new PathString("/Account/Login"),
    SlidingExpiration = true //Cookie will be re-issued on requests more than halfway through expiration window
});

问题—— _

什么是在 returnUrl 未修改/不正确的情况下无条件地生成 302 重定向到登录页面(无论用户是否已经登录,都会发生这种情况),以及如何恢复所描述的在附加斜杠的情况下执行 302 重定向的行为。

如果我可以有条件地使用正确的返回 URL 定向到登录页面,那就更好了,但主要要求是首先避免错误地重定向到登录页面和后续循环。如果 302 重定向到应用程序根,然后进一步重定向到登录页面(用户未通过身份验证或他们的票已过期),那么这是可以接受的。

我已经研究过 URL 重写,但开发人员事先并不知道域和虚拟路径,因为每个客户站点上的这些可能不同——主机服务器上虚拟目录的使用或其他方式也是如此。

4

1 回答 1

2

如果用户尚未经过身份验证以保存浪费的重定向,我认为这段代码应该在修复丢失的斜杠和重定向到登录页面方面实现我想要的 -

protected void Application_ResolveRequestCache(object sender, EventArgs e)
{
    //If the application is installed in a Virtual Directory and the trailing slash is ommitted then permantently redirect to the default action
    //To avoid wasted redirect do this conditional on the authentication status of the user - redirecting to the login page for unauthenticated users
    if ((VirtualPathUtility.ToAbsolute("~/") != Request.ApplicationPath) && (Request.ApplicationPath == Request.Path))
    {
        if (HttpContext.Current.User.Identity.IsAuthenticated)
        {
            var redirectPath = VirtualPathUtility.AppendTrailingSlash(Request.Path);

            Response.RedirectPermanent(redirectPath);
        }

        var loginPagePath = VirtualPathUtility.ToAbsolute("~/Account/Login");

        Response.StatusCode = 401;
        Response.Redirect(loginPagePath);
    }
}

但是,由于我已将 cookie 路径设置为应用程序目录,因此当请求缺少尾部斜杠时,不会发送用户 cookie,因此永远无法对用户进行身份验证。结果,我在请求生命周期的早期转移到了一个事件,并简化为-

protected void Application_BeginRequest(object sender, EventArgs e)
{
    //If the application is installed in a Virtual Directory and the trailing slash is ommitted then permantently redirect to the default action
    //To avoid wasted redirect do this conditional on the authentication status of the user - redirecting to the login page for unauthenticated users
    if ((VirtualPathUtility.ToAbsolute("~/") != Request.ApplicationPath) && (Request.ApplicationPath == Request.Path))
    {
        var redirectPath = VirtualPathUtility.AppendTrailingSlash(Request.Path);

        Response.RedirectPermanent(redirectPath);

        return;
    }
}
于 2014-02-26T16:30:06.670 回答