ASP.NET वेब एपीआई: 401 / अनधिकृत प्रतिक्रिया वापस करने का सही तरीका

मेरे पास एक एमवीसी वेबपीआई साइट है जो अनुरोधों को प्रमाणित करने के लिए OAuth / टोकन प्रमाणीकरण का उपयोग करती है। सभी संबंधित नियंत्रकों के पास सही विशेषताएँ हैं, और प्रमाणीकरण ठीक काम कर रहा है।

समस्या यह है कि सभी अनुरोधों को एक विशेषता के दायरे में अधिकृत नहीं किया जा सकता है - कुछ प्राधिकरण जांच को कोड में किया जाना चाहिए जिसे नियंत्रक विधियों द्वारा कहा जाता है - इस मामले में 401 अनधिकृत प्रतिक्रिया वापस करने का सही तरीका क्या है?

मैंने कोशिश की है throw new HttpException(401, "Unauthorized access");, लेकिन जब मैं ऐसा करता हूं तो प्रतिक्रिया स्थिति कोड 500 है और मुझे स्टैक ट्रेस भी मिलता है। यहां तक ​​कि हमारे लॉगिंग डेलिगेटिंगहैंडलर में हम देख सकते हैं कि प्रतिक्रिया 500 है, 401 नहीं।

आपको HttpResponseExceptionअपने एपीआई विधि से फेंकना चाहिए , न कि HttpException:

throw new HttpResponseException(HttpStatusCode.Unauthorized);

या, यदि आप एक कस्टम संदेश की आपूर्ति करना चाहते हैं:

var msg = new HttpResponseMessage(HttpStatusCode.Unauthorized) { ReasonPhrase = "Oops!!!" };
throw new HttpResponseException(msg);

बस निम्नलिखित वापस करें:

return Unauthorized();

अन्य उत्तरों के विकल्प के रूप में, आप इस कोड का उपयोग भी कर सकते हैं यदि आप IActionResultASP.NET नियंत्रक के भीतर लौटना चाहते हैं ।

ASP.NET

 return Content(HttpStatusCode.Unauthorized, "My error message");

अपडेट: ASP.NET कोर

उपरोक्त कोड ASP.NET कोर में काम नहीं करता है, आप इसके बजाय इनमें से किसी एक का उपयोग कर सकते हैं:

 return StatusCode((int)System.Net.HttpStatusCode.Unauthorized, "My error message");
 return StatusCode(401, "My error message");

जाहिरा तौर पर कारण वाक्यांश बहुत वैकल्पिक है ( क्या एक HTTP प्रतिक्रिया कारण-वाक्यांश को छोड़ सकती है? )

आपको एक 500 प्रतिक्रिया कोड मिलता है क्योंकि आप एक अपवाद ( HttpException) फेंक रहे हैं जो किसी प्रकार की सर्वर त्रुटि को इंगित करता है, यह गलत दृष्टिकोण है।

बस प्रतिक्रिया स्थिति कोड सेट करें .eg

Response.StatusCode = (int)HttpStatusCode.Unauthorized;

ASP.NET Core> = 1.0 में मौजूदा उत्तर को जोड़ने के लिए आप कर सकते हैं

return Unauthorized();

return Unauthorized(object value);

ग्राहक को जानकारी देने के लिए आप इस तरह से कॉल कर सकते हैं:

return Unauthorized(new { Ok = false, Code = Constants.INVALID_CREDENTIALS, ...});

क्लाइंट के पास 401 की प्रतिक्रिया के अलावा आपके पास पास डेटा भी होगा। अधिकांश ग्राहकों पर उदाहरण के लिए आप await response.json()इसे प्राप्त कर सकते हैं ।

.Net कोर में आप उपयोग कर सकते हैं

return new ForbidResult();

के बजाय

return Unauthorized();

जिसका लाभ सीधा 401 देने के बजाय डिफ़ॉल्ट अनधिकृत पृष्ठ (खाता / AccessDenied) पर पुनर्निर्देशित करने का है

डिफ़ॉल्ट स्थान बदलने के लिए अपने स्टार्टअप को बदलें

services.AddAuthentication(options =>...)
            .AddOpenIdConnect(options =>...)
            .AddCookie(options =>
            {
                options.AccessDeniedPath = "/path/unauthorized";

            })

आप asp.net कोर 2.0 में कोड का पालन कर सकते हैं:

public IActionResult index()
{
     return new ContentResult() { Content = "My error message", StatusCode = (int)HttpStatusCode.Unauthorized };
}

आप भी इस कोड को फॉलो करें:

var response = new HttpResponseMessage(HttpStatusCode.NotFound)
{
      Content = new StringContent("Users doesn't exist", System.Text.Encoding.UTF8, "text/plain"),
      StatusCode = HttpStatusCode.NotFound
 }
 throw new HttpResponseException(response);