asp.net-mvc – 使用IIS基本身份验证的OWIN身份验证

我创建了一个新的ASP.NET MVC 5应用程序,它具有Visual Studio 2013和Owin Middleware提供的默认访问控制. 我在IIS上启用了基本身份验证(禁用所有其他身份验证),以保护站点免受那些没有我在Windows上创建的用户/密码的人的攻击.它导致浏览器中的“重定向循环”

我创建了一个新的ASP.NET MVC 5应用程序,它具有Visual Studio 2013和Owin Middleware提供的默认访问控制.

我在IIS上启用了基本身份验证(禁用所有其他身份验证),以保护站点免受那些没有我在Windows上创建的用户/密码的人的攻击.它导致浏览器中的“重定向循环”.

有什么想法吗?如何在不更改代码的情况下保护网站?

解决方法

默认情况下,文件Startup.Auth.cs中会出现如下内容:

app.UseCookieAuthentication(new CookieAuthenticationOptions
            {
                AuthenticationType = DefaultAuthenticationTypes.ApplicationCookie,LoginPath = new PathString("/Main/Account/Login"),CookieName = "OwinAuthCookie",});

在IIS中启用基本身份验证时,会发生以下情况:

> IIS基本身份验证模块发现没有身份验证标头,因此它返回HTTP 401响应.
>响应不会立即返回,但由Owin处理.
> Owin看到请求获得401(未授权)响应,因此它重定向到配置的LoginPath.
>您的浏览器处理重定向,尝试打开新的URL,然后我们回到第1点.这是循环.

您可以做的是在上面的代码中注释掉LoginPath属性.这应该停止重定向循环,但也可以(但不必,取决于您的实现)中断应用程序用户的身份验证.

我最终得到的是实现一个小的Owin中间件并自己进行基本身份验证.

这些链接可能会有所帮助:

> Writing an OWIN Authentication Middleware
> Basic Authentication with ASP.NET Web API Using OWIN Middleware
> Thinktecture.IdentityModel on GitHub

作者: dawei

【声明】:永州站长网内容转载自互联网,其相关言论仅代表作者个人观点绝非权威,不代表本站立场。如您发现内容存在版权问题,请提交相关链接至邮箱:bqsm@foxmail.com,我们将及时予以处理。

为您推荐

联系我们

联系我们

0577-28828765

在线咨询: QQ交谈

邮箱: xwei067@foxmail.com

工作时间:周一至周五,9:00-17:30,节假日休息

返回顶部