Как предотвратить проверку подлинности Windows от перенаправления браузера на URL API? - PullRequest
Новая
       29

Как предотвратить проверку подлинности Windows от перенаправления браузера на URL API?

0 голосов
/ 02 мая 2018

У нас есть внешний интерфейс Angular4, который вызывает веб-API ASP.NET Core 2.0, размещенный в IIS с использованием аутентификации Windows. При первой загрузке внешнего интерфейса или в режиме инкогнито требуется вход в систему, но после успешного входа он не перенаправляется обратно во внешний интерфейс. Это выглядит так:

  • Перейдите к интерфейсу на http://localhost:4200
  • Подсказка для входа появляется с URL-адресом API на http://localhost:53465
  • После успешного входа в систему браузер остается на http://localhost:53465 вместо перенаправления на http://localhost:4200

Все это началось недавно с последним обновлением Chrome, ранее это никогда не было проблемой; после входа в систему вы будете перенаправлены на интерфейс, на любую страницу, на которую хотите перейти.

Вот что мы имеем для web.config на сайте переднего плана: 

<?xml version="1.0" encoding="utf-8" ?>
<configuration>
  <system.webServer>
    <rewrite>
      <rules>
        <rule name="Angular" stopProcessing="true">
          <match url=".*" />
          <conditions logicalGrouping="MatchAll">
            <add input="{REQUEST_FILENAME}" matchType="IsFile" negate="true" />
            <add input="{REQUEST_FILENAME}" matchType="IsDirectory" negate="true" />
          </conditions>
          <action type="Rewrite" url="/" />
        </rule>
      </rules>
    </rewrite>
  </system.webServer>
</configuration>

Вот web.config для сайта API: 

<?xml version="1.0" encoding="utf-8"?>
<configuration>
  <appSettings>
    <add key="autoFormsAuthentication" value="false" />
    <add key="enableSimpleMembership" value="false" />
    <add key="PreserveLoginUrl" value="true" />
  </appSettings>
  <system.web>
    <authentication mode="Windows" />
  </system.web>
  <system.webServer>
    <handlers>
      <remove name="aspNetCore" />
      <add name="aspNetCore" path="*" verb="*" modules="AspNetCoreModule" resourceType="Unspecified" />
    </handlers>
    <aspNetCore processPath="%LAUNCHER_PATH%" arguments="%LAUNCHER_ARGS%" stdoutLogEnabled="false" stdoutLogFile=".\logs\stdout" startupTimeLimit="3600" requestTimeout="23:00:00" forwardWindowsAuthToken="true" />
    <security>
      <authorization>
        <remove users="*" roles="" verbs="" />
        <add accessType="Allow" users="?" verbs="OPTIONS" />
        <add accessType="Allow" roles="USERS" />
      </authorization>
    </security>
  </system.webServer>
</configuration>

Вот как мы делаем наши http-запросы на Angular: 

getPendingRequests(owner: string): Observable<any[]> {
        let url = `${this.baseUrl}pending`;
        return this._http.get(url).map((res: Response) => res.json());
    }

и параметры, которые отправляются вместе с ним: 

@Injectable()
export class NoCacheRequestOptions extends BaseRequestOptions {
    constructor () {
        super();
        this.headers.append('Cache-Control','no-cache');
        this.headers.append('Pragma', 'no-cache');
        this.headers.append('Expires', 'Sat, 01 Jan 2000 00:00:00 GMT');
        this.headers.append('Content-Type', 'application/json');
        this.withCredentials = true;
      }
}

Вот пример конечной точки API: 

[Route("pending")]
[Authorize]
public class PendingCorrespondenceController : Controller
{
    ....
    public async Task<IActionResult> GetPendingCorrespondence()
        {

И наши Startup.cs для API: 

public void ConfigureServices(IServiceCollection services)
        {
            services.AddSingleton(Configuration);
            services.AddMemoryCache();
            services.AddMvc();
            services.AddAuthentication(IISDefaults.AuthenticationScheme);
            services.AddAuthentication("CookieAuthenticationScheme")
                .AddCookie("CookieAuthenticationScheme");
            services.AddCors(options =>
            {
                options.AddPolicy("AllowSpecificOrigin", builder =>
                {
                    builder.WithOrigins(Configuration["CORS:AllowedOrigins"]);
                    builder.AllowCredentials();
                    builder.AllowAnyHeader();
                    builder.AllowAnyMethod();
                });
            });

            services.AddSingleton<IDashboardData, CacheDashboardData>();
            services.AddSingleton<ICorrespondencePermission, CorrespondencePermission>();
            services.AddSingleton<IPendingCorrespondence, PendingCorrespondence.PendingCorrespondence>();
            services.AddSingleton<IHoldForReview, HoldForReview.HoldForReview>();
            services.AddSingleton<IActiveDirectory, ActiveDirectory>();
        }

        // This method gets called by the runtime. Use this method to configure the HTTP request pipeline.
        public void Configure(IApplicationBuilder app, IHostingEnvironment env)
        {
            if (env.IsDevelopment()) app.UseDeveloperExceptionPage();
            app.UseAuthentication();
            app.UseCors("AllowSpecificOrigin");
            app.UseMiddleware<PermissionsMiddleware>();
            app.UseMiddleware<GlobalExceptionLogger>();
            app.UseMvc().UseMvcWithDefaultRoute();
        }

Мы боролись с этим пару дней без удачи, есть ли что-то очевидное, чего нам не хватает?

Добро пожаловать на сайт PullRequest, где вы можете задавать вопросы и получать ответы от других членов сообщества.

Похожие темы

...