MVC Rediriger avec des en-têtes personnalisés

J'espère que c'est une question simple pour quelqu'un là-bas.

Essentiellement sur réception d'une demande à mon contrôleur MVC, je veux:

  1. Ajouter une "Autorisation" de l'en-tête de la réponse
  2. Rediriger vers une autre application assis sur un autre domaine
  3. De lire le "Autorisation" à en-tête de ce site externe.

Il semble que la loi de réorientation, dépouillé de tous mes en-têtes personnalisés et des redirections.

Ma question, comment puis-je ajouter un nouvel en-tête, ET d'effectuer une redirection, ET l'en-tête apparaissent dans les en-têtes pour la réception d'accueil [à la fin de la redirection] lire?

InformationsquelleAutor user1265146 | 2013-08-02
  1. 9

    Vous ne pouvez pas. Ce n'est pas le HTTP fonctionne. Tout d'abord, une "redirection" est juste une 301, 302, ou (depuis HTTP 1.1) 307 code de statut avec le Location en-tête défini l'adresse que le client devrait aller. C'est le client qui initie la demande d'URL, de sorte que vous n'avez aucun contrôle sur ce que les en-têtes qu'ils envoient.

    Deuxième, HTTP est sans état, le fait qu'une Authorization en-tête a été envoyé dans une réponse à un certain point a zéro portant sur tout ce qui se passe dans toutes les futures demandes. Les navigateurs Web et d'autres clients HTTP jupe autour de la apatrides nature de HTTP en utilisant des sessions sur le serveur-côté et des témoins sur le côté client. Le client envoie le cookie au serveur avec la demande. Le cookie correspond à un élément de la session de stocker sur le serveur, et le serveur charge les données à partir de cette session pour donner l'apparence, comme si l'état était maintenu.

    Troisième, les cookies ne fonctionnent pas dans cette situation, parce qu'ils sont domaine lié et ne sont pas envoyés avec des demandes à des domaines qu'ils ne proviennent pas de. Donc, même si vous deviez créer une session de maintenir l'autorisation, de l'autre site ne serait jamais le voir.

    FWIW, le principe de base ici, le partage de l'état de l'authentification avec un domaine différent, est exactement quelles sont les technologies comme OAuth ont été développées. Donc orienter les futures recherches dans cette direction.

    • Merci pour le très approfondie de la réponse. En fait je suis en utilisant OAuth, mais avec un usage très spécifique cas où nous ne redirige pas pour la connexion, c'est tout handeled par la "confiance app', maintenant, je voudrais insérer le jeton dans l'en-tête de sorte que l'autre " de confiance application pourrait lire les revendications et les processus en conséquence... le tout sans la redirection de l'idP. Alexei mentionné le faire dans le client, ce qui est possible parce que j'ai le jeton sur le client. J'ai juste besoin d'être en mesure d'ajouter l'en-tête d'authentification et ont demande d'incendie dans un nouvel onglet / fenêtre. Je suppose que c'est possible?
    • Ce que vous décrivez est la même chose OAuth et HTTP comme protocole interdit sur le but. Ce n'est pas vous qui détermine ce qui est et n'est pas une "application de confiance", c'est le utilisateur. Ce qui est fait par le biais de l'authentification avec une entité connue. Une fois qu'une autre entité est impliquée, l'authentification est nécessaire de nouveau, car l'utilisateur n'a pas confiance en la nouvelle entité. Il n'y a aucun moyen de contourner ce par le design. Pour être en mesure de serait une énorme faille de sécurité.
    InformationsquelleAutor Chris Pratt
  2. 2

    Pas - de redirection 302 sont gérées par le navigateur et il ne sera pas re-joindre les en-têtes.

    Options:

    • côté serveur proxy
    • utiliser des cookies à la place des autres en-têtes (si c'est le même domaine, pas votre cas pour 2)
    • manuel de redirection côté client (peut-être ok, puisque vous faites appel AJAX de toute façon).
    • M'en dire plus sur ce " manuel de redirection côté client (peut-être ok, puisque vous faites appel AJAX de toute façon).'
    • J'aime cette idée... m'en dire plus sur ce " manuel de redirection côté client (peut-être ok, puisque vous faites appel AJAX de toute façon).' J'aurais besoin pour définir l'en-tête d'authentification et ont ouvert dans une nouvelle fenêtre ou onglet.
    • comme obtenir normale 200 réponse de votre serveur qui contient quelque chose comme {header:XXXX, location:url} et présenter une deuxième requête AJAX à cet emplacement. Maintenant, puisque vous voulez probablement après d'autres domaine que vous ne pouvez pas être en mesure d'en faire la demande à tous (à moins que l'autre domaine prend en charge la SCRO).
    InformationsquelleAutor Alexei Levenkov