2

我有一个 Angular2 应用程序,它对 .NET Core Web API 控制器执行 http PUT。当我运行该应用程序时,它首先发出一个 OPTIONS 预检请求并引发 401 Unauthorized 错误。

XMLHttpRequest cannot load http://localhost:55137/api/Foo/2. Response for preflight has invalid HTTP status code 401

我试过直接从 Postman 做 PUT 并且效果很好。不知道这是否相关,但我来自 Angular 应用程序的 GET 也可以正常工作。我已经在文档和网络搜索的帮助下汇总了以下代码,但我还没有完全理解为什么 OPTIONS 飞行前请求是未经授权的?我尝试了一些方法,例如在 web.config 中删除和重新添加 OPTIONSVerbHandler。我还读到预检请求要求您不要发送凭据,但我不确定在我的情况下如何做到这一点。

我正在使用 Angular 2.0.0-rc.5 和 .NET Core 1.0.0,并在 IIS 8.5 上托管(在 Visual Studio 2015 中开发时的 IISExpress)。

foo.service.ts:

import { Injectable } from "@angular/core";
import { Headers, Http, RequestOptions } from "@angular/http";
import { CONFIG } from "./../app.config";

@Injectable()
export class FooService {
    private _apiUrl: string = CONFIG.generalAPI;
    private _headers: Headers = new Headers({ "Content-Type": "application/json" });

    constructor(private http: Http) { }

    updateObj(fooObj: any): Promise<any> {
        let body: any = JSON.stringify(fooObj);
        let options: RequestOptions = new RequestOptions({
            headers: this._headers,
            withCredentials: true
        });
        let result: Promise<any> = this.http.put(this._apiUrl + "/Foo/" + fooObj.ID, body, options)
            .toPromise()
            .then(response => response.json())
            .catch(this.handleError);
        return result;
    }

    private handleError(error: any): Promise<any> {
        console.error("An error occurred", error);
        return Promise.reject(error.message || error);
    }
}

fooController.cs:

// PUT api/Foo/5
[HttpPut("{id}")]
public IActionResult Put(int id, [FromBody]FooClass obj)
{
    try
    {
        _fooService.UpdateFoo(obj);
        return Ok();
    }
    catch (Exception ex)
    {
        return BadRequest("An error occurred. Message: " + ex.Message);
    }
}

webAPI 应用程序的 web.config:

<customHeaders>
    <add name="Access-Control-Allow-Credentials" value="true" />
    <add name="Access-Control-Allow-Origin" value="http://localhost:44612" />
    <add name="Access-Control-Allow-Methods" value="GET, POST, PUT, DELETE, OPTIONS" />
    <add name="Access-Control-Allow-Headers" value="Origin, X-Requested-With, Content-Type, Accept, Authorization" />
</customHeaders>
4

2 回答 2

2

除了 web.config,你可以在你的 ASP.NET 核心 web api 中启用这样的 CORS-

首先,在 project.json 中添加依赖项 -"Microsoft.AspNetCore.Cors": "1.0.0",

startup.cs然后像这样启用CORS-

app.UseCors(builder => {
    builder.AllowAnyOrigin().AllowAnyMethod().AllowAnyHeader().AllowCredentials();
});

如果你想限制到特定的来源,那么你可以这样做 -

app.UseCors(builder => builder.WithOrigins("example.com"));

您可以在此处找到有关 CORS 的更多信息

于 2016-10-01T10:22:25.400 回答
0

我对没有正文的 HttpPut 也有同样的问题。如果您不发送正文(甚至是 null 或类似的内容),API 将返回 Unauthorized。

const url = `${this.apiEndPoints.kycCasesEndPoint}/${clientId}/assign`;
const headers = new HttpHeaders().set('Authorization', 'Bearer ' +  this.authService.authToken);
return this.http.put<KycCaseAssign>(url, null, { headers })

于 2017-10-25T14:10:46.833 回答