OWIN jeton d'authentification 400 Bad Request sur les OPTIONS du navigateur

Je suis à l'aide jeton d'authentification pour les petits du projet sur la base de cet article: http://bitoftech.net/2014/06/09/angularjs-token-authentication-using-asp-net-web-api-2-owin-asp-net-identity/

Tout semble bien fonctionner sauf une chose: OWIN jeton d'authentification n'autorise pas les OPTIONS de demande sur /jeton de point de terminaison. Web API retourne 400 Bad Request et l'ensemble de l'application navigateur envoie une requête POST à obtenir un jeton.

J'ai tous de la SCRO activée dans l'application, comme dans l'exemple de projet. Ci-dessous un code qui pourrait être pertinente:

public class Startup
{
public static OAuthBearerAuthenticationOptions OAuthBearerOptions { get; private set; }
public void Configuration(IAppBuilder app)
{
AreaRegistration.RegisterAllAreas();
UnityConfig.RegisterComponents();
GlobalConfiguration.Configure(WebApiConfig.Register);
FilterConfig.RegisterGlobalFilters(GlobalFilters.Filters);
RouteConfig.RegisterRoutes(RouteTable.Routes);
BundleConfig.RegisterBundles(BundleTable.Bundles);
HttpConfiguration config = new HttpConfiguration();
app.UseCors(Microsoft.Owin.Cors.CorsOptions.AllowAll);
ConfigureOAuth(app);
WebApiConfig.Register(config);
app.UseWebApi(config);
Database.SetInitializer(new ApplicationContext.Initializer());
}
public void ConfigureOAuth(IAppBuilder app)
{
//use a cookie to temporarily store information about a user logging in with a third party login provider
app.UseExternalSignInCookie(Microsoft.AspNet.Identity.DefaultAuthenticationTypes.ExternalCookie);
OAuthBearerOptions = new OAuthBearerAuthenticationOptions();
OAuthAuthorizationServerOptions OAuthServerOptions = new OAuthAuthorizationServerOptions()
{
AllowInsecureHttp = true,
TokenEndpointPath = new PathString("/token"),
AccessTokenExpireTimeSpan = TimeSpan.FromMinutes(60),
Provider = new SimpleAuthorizationServerProvider(),
RefreshTokenProvider = new SimpleRefreshTokenProvider()
};
//Token Generation
app.UseOAuthAuthorizationServer(OAuthServerOptions);
app.UseOAuthBearerAuthentication(OAuthBearerOptions);
}
}

Ci-dessous est ma fonction de connexion à partir de javascript (je suis en utilisant angularjs pour cela)

var _login = function (loginData) {
var data = "grant_type=password&username=" + loginData.userName + "&password=" + loginData.password;
data = data + "&client_id=" + ngAuthSettings.clientId;
var deferred = $q.defer();
$http.post(serviceBase + 'token', data, { headers: { 'Content-Type': 'application/x-www-form-urlencoded' } }).success(function (response) {
localStorageService.set('authorizationData', { token: response.access_token, userName: loginData.userName, refreshToken: response.refresh_token, useRefreshTokens: true });
_authentication.isAuth = true;
_authentication.userName = loginData.userName;
_authentication.useRefreshTokens = loginData.useRefreshTokens;
deferred.resolve(response);
}).error(function (err, status) {
_logOut();
deferred.reject(err);
});
return deferred.promise;
};
var _logOut = function () {
localStorageService.remove('authorizationData');
_authentication.isAuth = false;
_authentication.userName = "";
_authentication.useRefreshTokens = false;
};
InformationsquelleAutor VsMaX | 2014-10-28
  1. 34

    J'ai perdu un peu de temps sur ce problème aujourd'hui. Enfin, je crois que j'ai trouvé une solution.

    Remplacer la méthode à l'intérieur de votre OAuthAuthorizationServerProvider:

    public override Task MatchEndpoint(OAuthMatchEndpointContext context)
{
if (context.IsTokenEndpoint && context.Request.Method == "OPTIONS")
{
context.OwinContext.Response.Headers.Add("Access-Control-Allow-Origin", new[] { "*" });
context.OwinContext.Response.Headers.Add("Access-Control-Allow-Headers", new[] { "authorization" });
context.RequestCompleted();
return Task.FromResult(0);
}
return base.MatchEndpoint(context);
}

    Cela semble faire trois choses:

    • Force auth server de répondre à la demande OPTIONS avec 200 (OK) HTTP état,
    • Permettre de demande à venir de n'importe où par la mise en Access-Control-Allow-Origin
    • Permet Authorization - tête pour être fixé sur les demandes ultérieures par la mise en Access-Control-Allow-Headers

    Après ces étapes angulaire enfin se comporte correctement lors de la demande de jeton de point de terminaison avec la méthode des OPTIONS. OK statut est renvoyé, et il se répète de la requête avec la méthode POST pour obtenir la pleine un jeton de données.

    • Merci @knr, votre solution fonctionne très bien pour moi. J'ai aussi ajouter l'en-tête "Autoriser" dans la réponse, en donnant la liste de verbe HTTP admis pour les ressources: le contexte.OwinContext.Réponse.Les en-têtes.Ajouter("Autoriser", new[] { "GET, POST, PUT, DELETE, TÊTE" });
    • merci @knr, votre solution fonctionne très bien pour moi aussi.
    InformationsquelleAutor knr
  2. 1

    Remplacer cette méthode à l'intérieur de votre OAuthAuthorizationServerProvider:

        public override async Task ValidateClientAuthentication(OAuthValidateClientAuthenticationContext context)
{
context.Validated();
}
    InformationsquelleAutor Prakash D Modi
  3. 0

    Êtes-vous d'exécuter localement ou publiez vous d'Azur comme dans l'article du blog de l'exemple de code?

    Si vous êtes en cours d'exécution sur Azure, vous pouvez résoudre facilement les problèmes de la SCRO par l'activation de la SCRO dans le portail Azure:

    1. Cliquez sur votre Application de Service dans le Portail Azure pour entrer dans l'écran de gestion.
    2. Dans la liste de gestion des options, faites défiler jusqu'à la " API " de la section, où vous trouverez le 'C' option. (Alternativement de type 'C' dans la zone de recherche).
    3. Entrez le permis d'origine, ou enter '*' afin de permettre à tous, et cliquez sur enregistrer.

    Ce fixe les OPTIONS de contrôle en amont problème pour moi, qui, quelques autres personnes semblent avoir eu sur le code dans cet article de blog.

    InformationsquelleAutor kdpnz
  4. -3

    Résolu. Le problème n'était pas d'envoi avec des OPTIONS d'en-tête de demande de Contrôle d'Accès-Demande-Méthode

    • Allais vous répondre, mais vous l'avez résolu, content de voir que mon tutoriel et exemples de code sont utiles 🙂
    • Même problème ici. Et je n'ai toujours pas compris comment résoudre ce problème.
    • J'aurais été bien si vous élaboré sur comment vous avez résolu le problème.. je l'ai résolu en utilisant la solution posée par @knr
    • 🙂 Belle solution.. mais comment ?
    InformationsquelleAutor VsMaX
  5. -4

    Cela devrait faire l'affaire:

    app.UseCors(CorsOptions.AllowAll);
    • Veuillez expliquer un peu, de sorte que les autres utilisateurs puissent comprendre les raisons du problème et comment fonctionne la solution. Merci 🙂
    InformationsquelleAutor zmckinnon