Authentification par formulaire: désactiver la redirection vers la page de connexion

Après quelques recherches, il semble que FormsAuthenticationModule ajoute un gestionnaire pour l'événement HttpApplicationContext.EndRequest. Dans son gestionnaire, il recherche un code de statut 401 et effectue plutôt un Response.Redirect(loginUrl) à la place. Autant que je sache, il n’ya aucun moyen de remplacer ce comportement si vous voulez utiliser FormsAuthenticationModule.

J'ai fini par contourner le problème en désactivant la variable FormsAuthenticationModule dans le fichier web.config, comme ceci:

<authentication mode="None" />

Et puis en implémentant le Application_AuthenticateEvent moi-même:

void Application_AuthenticateRequest(object sender, EventArgs e)
{
    if (Context.User == null)
    {
        var oldTicket = ExtractTicketFromCookie(Context, FormsAuthentication.FormsCookieName);
        if (oldTicket != null && !oldTicket.Expired)
        {
            var ticket = oldTicket;
            if (FormsAuthentication.SlidingExpiration)
            {
                ticket = FormsAuthentication.RenewTicketIfOld(oldTicket);
                if (ticket == null)
                    return;
            }

            Context.User = new GenericPrincipal(new FormsIdentity(ticket), new string[0]);
            if (ticket != oldTicket)
            {
                // update the cookie since we've refreshed the ticket
                string cookieValue = FormsAuthentication.Encrypt(ticket);
                var cookie = Context.Request.Cookies[FormsAuthentication.FormsCookieName] ??
                             new HttpCookie(FormsAuthentication.FormsCookieName, cookieValue) { Path = ticket.CookiePath };

                if (ticket.IsPersistent)
                    cookie.Expires = ticket.Expiration;
                cookie.Value = cookieValue;
                cookie.Secure = FormsAuthentication.RequireSSL;
                cookie.HttpOnly = true;
                if (FormsAuthentication.CookieDomain != null)
                    cookie.Domain = FormsAuthentication.CookieDomain;
                Context.Response.Cookies.Remove(cookie.Name);
                Context.Response.Cookies.Add(cookie);
            }
        }
    }
}

private static FormsAuthenticationTicket ExtractTicketFromCookie(HttpContext context, string name)
{
    FormsAuthenticationTicket ticket = null;
    string encryptedTicket = null;

    var cookie = context.Request.Cookies[name];
    if (cookie != null)
    {
        encryptedTicket = cookie.Value;
    }

    if (!string.IsNullOrEmpty(encryptedTicket))
    {
        try
        {
            ticket = FormsAuthentication.Decrypt(encryptedTicket);
        }
        catch
        {
            context.Request.Cookies.Remove(name);
        }

        if (ticket != null && !ticket.Expired)
        {
            return ticket;
        }

        // if the ticket is expired then remove it
        context.Request.Cookies.Remove(name);
        return null;
    }
}

C'est en fait un peu plus compliqué que cela, mais j'ai essentiellement obtenu le code en regardant l'implémentation de FormsAuthenticationModule dans le réflecteur. Mon implémentation est différente de la variable FormsAuthenticationModule intégrée en ce sens qu'elle ne fait rien si vous répondez avec un 401 - aucune redirection vers la page de connexion. J'imagine que si cela devenait nécessaire, je pourrais mettre un élément dans le contexte pour désactiver la redirection automatique.

Je ne sais pas si cela fonctionnera pour tout le monde, mais dans IIS7, vous pouvez appeler Response.End () après avoir défini le code d'état et la description. De cette façon, # & $ ^ # @ *! FormsAuthenticationModule ne fera pas de redirection.

public void ProcessRequest(HttpContext context) {
    Response.StatusCode = 401;
    Response.StatusDescription = "Authentication required";
    Response.End();
}

Pour compléter légèrement la réponse de zacharydl, je l’ai utilisée pour résoudre mes problèmes. Au début de chaque demande, s'il s'agit d'AJAX, supprimez immédiatement le comportement.

protected void Application_BeginRequest()
{
    HttpRequestBase request = new HttpRequestWrapper(Context.Request);
    if (request.IsAjaxRequest())
    {
        Context.Response.SuppressFormsAuthenticationRedirect = true;
    }
}

Je ne sais pas comment Response.End () a fonctionné pour vous. Je l'ai essayé sans joie, puis j'ai examiné MSDN pour Response.End (): 'arrête l'exécution de la page et déclenche l'événement EndRequest'.

Pour ce que ça vaut mon bidouille était:

_response.StatusCode = 401;
_context.Items["401Override"] = true;
_response.End();

Ensuite, dans Global.cs, ajoutez un gestionnaire EndRequest (appelé après l'authentification HTTPModule):

protected void Application_EndRequest(object sender, EventArgs e)
{
    if (HttpContext.Current.Items["401Override"] != null)
    {
        HttpContext.Current.Response.Clear();
        HttpContext.Current.Response.StatusCode = 401;
    }
}

Je sais qu'il existe déjà une réponse avec tick, mais en essayant de résoudre un problème similaire, j'ai trouvé this ( http://blog.inedo.com/2010/12/12/http-418-im-a- théière-enfin-a-% e2% 80% 9clegitimate% e2% 80% 9d-use/ ) comme alternative.

En principe, vous renvoyez votre propre code d’état HTTP (par exemple 418) dans votre code. Dans mon cas, un service de données WCF.

throw new DataServiceException(418, "401 Unauthorized");

Utilisez ensuite un module HTTP pour le gérer lors de l'événement EndRequest afin de réécrire le code en 401.

HttpApplication app = (HttpApplication)sender;
if (app.Context.Response.StatusCode == 418)
{
    app.Context.Response.StatusCode = 401;
}

Le navigateur/client recevra le contenu et le code de statut corrects, cela fonctionne très bien pour moi :)

Si vous souhaitez en savoir plus sur le code d'état HTTP 418, voir this question & answer .

ce que vous avez découvert est correct à propos des formulaires autorisés à intercepter le 401 et à effectuer une redirection, mais nous pouvons également le faire pour inverser la configuration.

En gros, vous avez besoin d’un module http pour intercepter la redirection 302 vers la page de connexion et l’inverser en 401.

Les étapes pour le faire sont expliquées dans ici

Le lien donné concerne un service WCF, mais il est identique dans tous les scénarios d'authentification de formulaires.

Comme expliqué dans le lien ci-dessus, vous devez également effacer les en-têtes http, mais n'oubliez pas de replacer l'en-tête du cookie dans la réponse si la réponse d'origine (c'est-à-dire avant l'interception) contenait des cookies. 

C'est un problème connu, et il existe un NuGet Package pour cela et/ou le code source disponible.

Vous ne définissez pas l'en-tête WWW-Authenticate dans le code que vous indiquez, le client ne peut donc pas effectuer d'authentification HTTP au lieu de l'authentification par formulaire. Si tel est le cas, vous devriez utiliser 403 au lieu de 401, qui ne sera pas intercepté par le FormsAuthenticaitonModule.

Funny hack si vous utilisez .NET Framework> = v4.0 mais <v4.5. Il utilise reflet pour définir la valeur de la propriété inaccessible SuppressFormsAuthenticationRedirect:

// Set property to "true" using reflection
Response
  .GetType()
  .GetProperty("SuppressFormsAuthenticationRedirect")
  .SetValue(Response, true, null);