15

我有一个网站试图在另一个网站上调用 MVC 控制器操作。这些站点都设置为 AD FS 2.0 中的信赖方信任。在两个站点之间的浏览器窗口中打开页面时,一切都经过身份验证并且工作正常。但是,当尝试使用 jQuery AJAX 方法从 JavaScript 调用控制器操作时,它总是失败。这是我正在尝试做的代码片段......

$.ajax({
  url: "relyingPartySite/Controller/Action",
  data: { foobar },
  dataType: "json",
  type: "POST",
  async: false,
  cache: false,
  success: function (data) {
    // do something here
  },
  error: function (data, status) {
    alert(status);
  }
});

问题是 AD FS 使用 JavaScript 向依赖方发布隐藏的 html 表单。当使用 Fiddler 进行跟踪时,我可以看到它到达 AD FS 站点并返回此 html 表单,该表单应该发布并重定向到经过身份验证的控制器操作。问题是该表单作为 ajax 请求的结果返回,并且显然会因解析器错误而失败,因为 ajax 请求需要来自控制器操作的 json。这似乎是一种常见的情况,那么从 AJAX 与 AD FS 通信并处理此重定向的正确方法是什么?

4

7 回答 7

4

你有两个选择。更多信息在这里

第一个是在入口应用程序(基于 HTML 的应用程序)和您的 API 解决方案之间共享会话 cookie。您将两个应用程序配置为使用相同的 WIF cookie。这仅在两个应用程序位于同一根域上时才有效。请参阅上面的帖子或这个stackoverflow 问题

另一个选项是禁用 AJAX 请求的被动重定向(作为Gutek 的回答)。这将返回一个 401 的 http 状态代码,您可以在 Javascript 中处理它。当您检测到 401 时,您会在 iFrame 中加载一个虚拟页面(或一个“身份验证”对话框,如果需要再次提供凭据,它可以兼作登录对话框)。当 iFrame 完成后,您将再次尝试调用。这次会话 cookie 将出现在调用中,它应该会成功。

//Requires Jquery 1.9+
var webAPIHtmlPage = "http://webapi.somedomain/preauth.html"

function authenticate() {
    return $.Deferred(function (d) {
        //Potentially could make this into a little popup layer 
        //that shows we are authenticating, and allows for re-authentication if needed
        var iFrame = $("<iframe></iframe>");
        iFrame.hide();
        iFrame.appendTo("body");
        iFrame.attr('src', webAPIHtmlPage);
        iFrame.load(function () {
            iFrame.remove();
            d.resolve();
        });
    });
};

function makeCall() {
    return $.getJSON(uri)
                .then(function(data) {
                        return $.Deferred(function(d) { d.resolve(data); });
                    },
                    function(error) {
                        if (error.status == 401) {
                            //Authenticating, 
                            //TODO:should add a check to prevnet infinite loop
                            return authenticate().then(function() {
                                //Making the call again
                                return makeCall();

                            });
                        } else {
                            return $.Deferred(function(d) {
                                d.reject(error);
                            });
                        }
                });
}
于 2013-12-02T21:25:53.713 回答
2

如果您不想接收带有链接的 HTML,您可以处理AuthorizationFailedWSFederationAuthenticationModule设置RedirectToIdentityProviderfalse仅在 Ajax 调用上。

例如:

FederatedAuthentication.WSFederationAuthenticationModule.AuthorizationFailed += (sender, e) =>
{
    if (Context.Request.RequestContext.HttpContext.Request.IsAjaxRequest())
    {
        e.RedirectToIdentityProvider = false;
    }
};

这个 withAuthorize属性会返回你的状态码401,如果你想有不同的东西,那么你可以实现自己的Authorize属性并在 Ajax 请求上编写特殊代码。

于 2013-08-20T15:53:43.033 回答
2

在我目前使用的项目中,我们在客户端遇到了相同的 SAML 令牌过期问题并导致 ajax 调用问题。在我们的特殊情况下,我们需要在遇到第一个 401 之后将所有请求排入队列,并且在成功验证后,所有请求都可以重新发送。身份验证使用 Adam Mills 建议的 iframe 解决方案,但在需要输入用户凭据的情况下也会走得更远,这是通过显示一个对话框来通知用户在外部视图上登录来完成的(因为 ADFS 不允许显示登录iframe 中的页面至少不是默认配置),在此期间等待请求正在等待完成,但用户需要从外部页面登录。

这是带有示例代码的要点的链接:

https://gist.github.com/kaveh82/bb0d8e4a446496a6c05a

请注意,我的代码基于使用 jquery 处理所有 ajax 请求。如果您的 ajax 请求正在由 vanilla javascript、其他库或框架处理,那么您也许可以在这个示例中找到一些灵感。jquery ui 的使用只是因为对话框,它代表一小部分代码,可以很容易地换出。

于 2016-01-28T08:56:28.900 回答
0

也许本系列的前 2 篇文章会对您有所帮助。他们考虑 ADFS 和 AJAX 请求

我想我会尝试做的是查看为什么不通过 ajax 传输身份验证 cookie,并找到一种方法将它们与我的请求一起发送。或者将 ajax 调用包装在一个函数中,该函数通过检索 html 表单进行预身份验证,将其隐藏到 DOM 中,提交它(希望它会设置好的 cookie),然后发送您最初想要发送的适当请求

于 2012-02-14T08:06:13.273 回答
0

首先,您说您正在尝试对另一个网站进行 ajax 调用,您的调用是否符合Web 浏览器的同源策略?如果确实如此,那么您期望 html 作为服务器的响应,datatype将 ajax 调用更改为dataType: "html",然后将表单插入到您的 DOM 中。

于 2012-02-14T07:58:28.467 回答
0

您只能执行这种类型的数据类型

"xml": Treat the response as an XML document that can be processed via jQuery. 

"html": Treat the response as HTML (plain text); included script tags are evaluated. 

"script": Evaluates the response as JavaScript and evaluates it. 

"json": Evaluates the response as JSON and sends a JavaScript Object to the success callback.

如果您可以在 fiddler 中看到仅返回 html,则将数据类型更改为 html,或者如果只有脚本代码,则可以使用 script。

于 2012-02-16T14:56:56.530 回答
-1

您应该创建一个任何名称的文件,例如 json.php,然后将连接连接到中继方网站,这应该可以工作 $.ajax({ url: "json.php", data: { foobar }, dataType: "json", type: "POST", async: false, cache: false, success: function (data) { // do something here }, error: function (data, status) { alert(status); } });

于 2012-04-16T05:22:34.620 回答