Asp.Net MVC如何返回401響應碼

需求：

    在默認創建的 Asp.Net MVC項目中（這里使用VS2013），需要手動返回一個401響應碼給瀏覽器。我們的代碼可能是下面這樣子的。

 

1.         public ActionResult UnauthorizedAccess()
           {
               return new HttpStatusCodeResult((int)HttpStatusCode.Unauthorized);
           }

 

實際的效果卻和預期的不太一樣，如果我們是通過地址欄直接訪問這個Action，可以看到請求被重定向到登錄頁面了

 

 

如果通過Ajax的方式進行訪問，可以看到直接返回了一個200的響應碼

 

因為當前創建的MVC項目默認使用的是一個叫CookieAuthentication的OWIN中間件來實現身份認證的功能的，該中間件中會將401響應碼進行特殊處理，所以導致我們無法手動返回401響應碼。

 

Startup類中的代碼： 

1.             // 使應用程序可以使用 Cookie 來存儲已登錄用戶的信息
               // 並使用 Cookie 來臨時存儲有關使用第三方登錄提供程序登錄的用戶的信息
               // 配置登錄 Cookie
               app.UseCookieAuthentication(new CookieAuthenticationOptions
               {
                   AuthenticationType = DefaultAuthenticationTypes.ApplicationCookie,
                   LoginPath = new PathString("/Account/Login"),
                   Provider = new CookieAuthenticationProvider
                   {
                       // 當用戶登錄時使應用程序可以驗證安全戳。
                       // 這是一項安全功能，當你更改密碼或者向帳戶添加外部登錄名時，將使用此功能。
                       OnValidateIdentity = SecurityStampValidator.OnValidateIdentity<ApplicationUserManager, ApplicationUser>(
                           validateInterval: TimeSpan.FromMinutes(30),
                           regenerateIdentity: (manager, user) => user.GenerateUserIdentityAsync(manager))
                   }
               });

 

 

 

所以如果你使用上述的中間件 （使用其他的身份認證的組件也可能會存在重寫401響應碼的行為） ，那么就無法手動返回401響應碼

 

如果需要手動返回401響應碼，那么就需要在Asp.Net的生命周期中對相應做一些修改，查閱MSDN的資料可以看到 PreSendRequestHeaders事件中比較適合做這個操作。

 

 

在Global中我們添加如下方法，在 PreSendRequestHeaders事件中插入我們自己的代碼，將響應碼設置為我們預期想要的值

1.         public void Application_PreSendRequestHeaders(object sender, EventArgs e)
           {
               //處理401響應被多個框架重寫的問題
               var values = Response.Headers.GetValues(ForceHttpStatusCodeResult.ForceHttpUnauthorizedHeaderName);
               if (values != null && values.Contains(ForceHttpStatusCodeResult.ForceHttpUnauthorizedHeaderValue))
               {
                   Response.ClearHeaders();
                   Response.StatusCode = (int)HttpStatusCode.Unauthorized;
               }
           }

 

 

由於請求到這里的時候，響應碼已經被重寫，所以我們通過一個自定義的請求頭來標識當前請求是一個要被手動發送給客戶端的401響應

 

    /// <summary>
    /// 強制返回指定的響應碼
    /// 401響應碼會被MVC框架和OWIN授權認證的中間件給重寫
    /// </summary>
    public class ForceHttpStatusCodeResult : HttpStatusCodeResult
    {

        public const string ForceHttpUnauthorizedHeaderName = "ForceHttpUnauthorizedHeader";
        public const string ForceHttpUnauthorizedHeaderValue = "true";

        public ForceHttpStatusCodeResult(int state)
            : this(state, "")
        { }

        public ForceHttpStatusCodeResult(int state, string statusDescription)
            : base(state, statusDescription)
        {
            if (state == (int)HttpStatusCode.Unauthorized)
            {
                SetForceHttpUnauthorizedHeader();
            }
        }


        private void SetForceHttpUnauthorizedHeader()
        {
            System.Web.HttpContext.Current.Response.AddHeader(ForceHttpUnauthorizedHeaderName, ForceHttpUnauthorizedHeaderValue);
        }
    }

 

 

 

此時我們在Action中就可以返回我們需要的任意響應碼了

1.         public ActionResult UnauthorizedAccess()
           {
               return new ForceHttpStatusCodeResult((int)HttpStatusCode.Unauthorized);
           }

 

Ajax請求結果：

 

 

 

下載：

　　　 示例代碼

 

 

參考資料：

  　　   ASP.NET 應用程序生命周期概述