WebAPI de la SCRO avec l'Authentification Windows - option autoriser l'accès Anonyme demande

J'ai un WebAPI 2 service de REPOS en cours d'exécution avec l'Authentification Windows. Il est hébergé séparément sur le site, donc j'ai activé la SCRO à l'aide de la ASP.NET la SCRO package NuGet. Mon client site est en utilisant AngularJS.

Jusqu'à présent, voici ce que j'ai vécu:

  1. Je n'avais pas withCredentials ensemble, de sorte que la SCRO les demandes de retour d'un 401. Résolu en ajoutant withCredentials de mon $httpProvider config.
  2. Côté, j'avais mis mon EnableCorsAttribute avec un générique d'origine, qui n'est pas autorisé lors de l'utilisation d'informations d'identification. Résolu en définissant la liste explicite des origines.
  3. Cela a permis à mes demandes pour réussir, mais mon POST a publié une demande de contrôle en amont, et je n'avais pas créé de contrôleur des actions pour soutenir les OPTIONS de verbe. Pour résoudre ce problème, j'ai mis en place un MessageHandler comme une des OPTIONS globales de gestionnaire. Il renvoie simplement à 200 pour toute demande d'OPTIONS. Je sais que ce n'est pas parfait, mais il fonctionne pour l'instant, dans un violon.

Où je suis collé à mon Angulaire de contrôle en amont des appels ne sont pas compris les informations d'identification. Selon cette réponse, c'est par la conception, comme les OPTIONS les demandes sont conçus pour être anonyme. Cependant, l'Authentification Windows est l'arrêt de la demande avec un 401.

J'ai essayé de mettre le [AllowAnonymous] attribut sur mon MessageHandler. Sur mon dev ordinateur, il fonctionne - OPTIONS verbes ne nécessitent pas d'authentification, mais d'autres verbes faire. Lorsque je créer et déployer le serveur de test, si, je suis en continuant à obtenir un 401 de ma demande.

Est-il possible d'appliquer [AllowAnonymous] sur mon MessageHandler lors de l'utilisation de l'Authentification Windows? Dans ce cas, les conseils sur la façon de le faire? Ou est-ce le mauvais trou de lapin, et je devrais être à la recherche à une approche différente?

Mise à JOUR:
J'ai été en mesure de l'obtenir pour fonctionner en définissant à la fois l'Authentification Windows et l'Authentification Anonyme sur le site dans IIS. Cela a causé tout pour autoriser les connexions anonymes, donc j'ai ajouté un filtre global de l'Autoriser, tout en conservant la AllowAnonymous sur mon MessageHandler.

Cependant, cela se sent comme un hack...j'ai toujours entendu qu'une seule méthode d'authentification doit être utilisé (pas de mélange). Si quelqu'un a une meilleure approche, je vous en serais reconnaissant entendu parler de lui.

Vous devriez également ajouter une balise de type 'selfhost" ou "owin", car cela n'est pas lié à quelque chose comme IIS. 🙂
J'ai utilisé ce guide codeproject.com/Articles/1119206/... (publié en 2016), qui est très similaire à la plupart des réponses ci-dessous

OriginalL'auteur Dave Simione | 2014-12-11

  1. 14

    J'ai utilisé l'auto-hébergement avec HttpListener et à la suite de la solution a fonctionné pour moi:

    1. Je option autoriser l'accès anonyme demandes
    2. Activer la SCRO avec SupportsCredentials défini à true
    var cors = new EnableCorsAttribute("*", "*", "*");
cors.SupportsCredentials = true;
config.EnableCors(cors);
var listener = appBuilder.Properties["System.Net.HttpListener"] as HttpListener;
if (listener != null)
{
    listener.AuthenticationSchemeSelectorDelegate = (request) => {
    if (String.Compare(request.HttpMethod, "OPTIONS", true) == 0)
    {
        return AuthenticationSchemes.Anonymous;
    }
    else
    {
        return AuthenticationSchemes.IntegratedWindowsAuthentication;
    }};
}
    Ce doit être marqué comme réponse, le AuthenticationSchemeSelectorDelegate est exactement ce dont vous avez besoin pour vous assurer que les OPTIONS de demandes sont globalement exclus de toute auth paramètres. Bravo, cette réponse est aussi EXACTEMENT ce dont j'avais besoin. (Je suggère que "selfhost' tag est ajouté à la question).
    Comment puis-je obtenir appBuilder instance dans webApiConfig.cs Registre Méthode?

    OriginalL'auteur Igor Tkachenko

  2. 6

    J'ai lutté pendant un certain temps à faire de la SCRO demandes de travaux dans les contraintes suivantes (très semblables à celles de l'OP):

    • L'Authentification Windows pour tous les utilisateurs
    • Pas l'authentification Anonyme a permis
    • Fonctionne avec IE11 qui, dans certains cas, ne pas envoyer de la SCRO de contrôle en amont des demandes (ou au moins ne pas atteindre mondiale.asax BeginRequest que les OPTIONS de demande)

    Ma configuration finale est la suivante:

    web.config - permettre non authentifié (anonyme) de contrôle en amont des demandes (OPTIONS)

    <system.web>
    <authentication mode="Windows" />
    <authorization>
        <allow verbs="OPTIONS" users="*"/>
        <deny users="?" />
    </authorization>
</system.web>

    mondiale.asax.cs - répondre correctement avec les en-têtes qui permettent de l'appelant à partir d'un autre domaine pour recevoir des données

    protected void Application_AuthenticateRequest(object sender, EventArgs e)
{
    if (Context.Request.HttpMethod == "OPTIONS")
    {
        if (Context.Request.Headers["Origin"] != null)
            Context.Response.AddHeader("Access-Control-Allow-Origin", Context.Request.Headers["Origin"]);

        Context.Response.AddHeader("Access-Control-Allow-Headers", "Origin, X-Requested-With, Content-Type, Accept, MaxDataServiceVersion");
        Context.Response.AddHeader("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE, OPTIONS");
        Context.Response.AddHeader("Access-Control-Allow-Credentials", "true");

        Response.End();
    }
}

    De la SCRO permettant

    public static class WebApiConfig
{
    public static void Register(HttpConfiguration config)
    {
        //all requests are enabled in this example. SupportsCredentials must be here to allow authenticated requests          
        var corsAttr = new EnableCorsAttribute("*", "*", "*") { SupportsCredentials = true };
        config.EnableCors(corsAttr);
    }
}

protected void Application_Start()
{
    GlobalConfiguration.Configure(WebApiConfig.Register);
}
    Cela a aidé! J'ai fini par ne pas ajouter de l'autorisation de l'élément sur le web.config et il fonctionnait toujours. Je crois que le Application_AuthenticateRequest remplacer éliminé la nécessité de permettre à des fins d'authentification lorsque l'OPTION méthode est appelée pour.
    Je vais essayer sans l'autorisation, même si je pense que c'est nécessaire lorsque seule l'Authentification Windows est activé dans IIS et les Options doivent être activées pour demande non authentifiée. Merci.

    OriginalL'auteur Alexei

  3. 2

    C'est une solution beaucoup plus simple-un peu de lignes de code pour permettre à toutes les "OPTIONS" demandes efficacement emprunter l'identité du pool d'application du compte. Vous pouvez garder Anonymes Éteint, et configurer la SCRO politiques par les pratiques habituelles, mais ensuite, ajoutez les lignes suivantes à votre global.asax.cs:

                protected void Application_AuthenticateRequest(object sender, EventArgs e)
            {
                if (Context.Request.HttpMethod == "OPTIONS" && Context.User == null)
                {
                    Context.User = System.Security.Principal.WindowsPrincipal.Current;
                }
            }

    OriginalL'auteur willman

  4. 2

    Je l'ai résolu d'une manière très similaire, mais avec quelques détails et axée sur le service oData

    Je n'ai pas désactiver l'authentification anonyme dans IIS car j'en avais besoin pour la requête POST

    Et j'ai ajouté Mondiale.aspx (en Ajoutant MaxDataServiceVersion dans Access-Control-Allow-Headers) le même code que ci-dessus

    protected void Application_BeginRequest(object sender, EventArgs e)
{
    if ((Context.Request.Path.Contains("api/") || Context.Request.Path.Contains("odata/")) && Context.Request.HttpMethod == "OPTIONS")
    {
        Context.Response.AddHeader("Access-Control-Allow-Origin", Context.Request.Headers["Origin"]);
        Context.Response.AddHeader("Access-Control-Allow-Headers", "Origin, X-Requested-With, Content-Type, Accept,MaxDataServiceVersion");
        Context.Response.AddHeader("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE, OPTIONS");
        Context.Response.AddHeader("Access-Control-Allow-Credentials", "true");
        Context.Response.End();
    }
}

    et WebAPIConfig.cs

    public static void Register(HttpConfiguration config)
{
   //Web API configuration and services
   var cors = new EnableCorsAttribute("*", "*", "*");
   cors.SupportsCredentials = true;
   config.EnableCors(cors);


   config.Routes.MapHttpRoute(
       name: "DefaultApi",
       routeTemplate: "api/{controller}/{id}",
       defaults: new { id = RouteParameter.Optional }
   );
}

    et AngularJS appel

    $http({
       method: 'POST',
        url: 'http://XX.XXX.XXX.XX/oData/myoDataWS.svc/entityName',
        withCredentials: true,
        headers: {
            'Content-Type': 'application/json;odata=verbose',
            'Accept': 'application/json;odata=light;q=1,application/json;odata=verbose;q=0.5',
            'MaxDataServiceVersion': '3.0'
        },
        data: {
            '@odata.type':'entityName',
            'field1': 1560,
            'field2': 24,
            'field3': 'sjhdjshdjsd',
            'field4':'wewewew',
            'field5':'ewewewe',
            'lastModifiedDate':'2015-10-26T11:45:00',
            'field6':'1359',
            'field7':'5'
        }
    });

    OriginalL'auteur Fran Rodriguez

  5. 0

    Dave,

    Après avoir joué avec de la SCRO paquet, c'est ce qu'il fait à travailler pour moi: [EnableCors(origines: "", en-têtes: "", les méthodes: "*", SupportsCredentials=true)]

    J'ai dû activer SupportsCredentials=true. Les origines,les en-Têtes, et les Méthodes sont toutes de la valeur "*"

    J'ai eu cette série depuis le début, sinon le serveur n'accepte pas les informations d'identification de l'en-tête. Merci pour la tentative, cependant.
    asp.net/web-api/overview/security/... l'Article: transmission des informations d'Identification dans les Requêtes d'Origine de La SCRO spec indique également que la configuration d'origine de "" n'est pas valide si SupportsCredentials est vrai. Vous devez fournir les origines que vous souhaitez autoriser, plutôt que d'utiliser ""

    OriginalL'auteur jr3

  6. 0

    désactiver l'authentification anonyme dans IIS si vous n'en avez pas besoin.

    Que d'ajouter ceci dans votre global asax:

    protected void Application_BeginRequest(object sender, EventArgs e)
{
    if ((Context.Request.Path.Contains("api/") || Context.Request.Path.Contains("odata/")) && Context.Request.HttpMethod == "OPTIONS")
    {
        Context.Response.AddHeader("Access-Control-Allow-Origin", Context.Request.Headers["Origin"]);
        Context.Response.AddHeader("Access-Control-Allow-Headers", "Origin, X-Requested-With, Content-Type, Accept");
        Context.Response.AddHeader("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE, OPTIONS");
        Context.Response.AddHeader("Access-Control-Allow-Credentials", "true");
        Context.Response.End();
    }
}

    Assurez-vous que lorsque vous activez la scro vous activez également les informations d'identification de l'utilisation, comme:

    public static void Register(HttpConfiguration config)
{
   //Web API configuration and services
   var cors = new EnableCorsAttribute("*", "*", "*");
   cors.SupportsCredentials = true;
   config.EnableCors(cors);

   //Web API routes
   config.MapHttpAttributeRoutes();

   config.Routes.MapHttpRoute(
       name: "DefaultApi",
       routeTemplate: "api/{controller}/{id}",
       defaults: new { id = RouteParameter.Optional }
   );
}

    Comme vous pouvez le voir j'ai activer la SCRO à l'échelle mondiale et à l'aide de l'application BeginRequest crochet je authentifier toutes les OPTIONS de demandes pour l'api (Api Web) et le odata demandes (si vous l'utilisez).

    Cela fonctionne bien avec tous les navigateurs, dans le côté client, n'oubliez pas d'ajouter le xhrFiled withCredentials comme indiqué ci-dessous.

    $.ajax({
    type : method,
    url : apiUrl,
    dataType : "json",
    xhrFields: {
        withCredentials: true
    },
    async : true,
    crossDomain : true,
    contentType : "application/json",
    data: data ? JSON.stringify(data) : ''
}).....

    J'essaie de trouver une autre solution en évitant d'utiliser le crochet, mais sans succès jusqu'à présent,
    Je voudrais utiliser le web.de configuration config à faire quelque chose comme ce qui suit:
    AVERTISSEMENT LA CONFIGURATION CI-DESSOUS NE FONCTIONNE PAS!

      <system.web>
    <compilation debug="true" targetFramework="4.5" />
    <httpRuntime targetFramework="4.5" />
    <authentication mode="Windows" />
    <authorization>
      <deny verbs="GET,PUT,POST" users="?" />
      <allow verbs="OPTIONS" users="?"/>
    </authorization>
  </system.web>
  <location path="api">
    <system.web>
      <authorization>
        <allow users="?"/>
      </authorization>
    </system.web>
  </location>

    OriginalL'auteur Norcino

  7. 0

    D'autres solutions que j'ai trouvées sur le web ne fonctionne pas pour moi ou semblait trop hacky; à la fin, je suis venu avec une plus simple, et la solution de travail:

    web.config:

    <system.web>
    ...
    <authentication mode="Windows" />
    <authorization>
        <deny users="?" />
    </authorization>
</system.web>

    Propriétés du projet:

    1. Tour sur Windows Authentication
    2. Désactiver Anonymous Authentication

    Le programme d'installation de la SCRO:

    [assembly: OwinStartup(typeof(Startup))]
namespace MyWebsite
{
    public class Startup
    {
        public void Configuration(IAppBuilder app)
        {
            app.UseCors(CorsOptions.AllowAll);

    Cela nécessite Microsoft.Owin.La scro assemblée qui est disponible sur NUget.

    Angulaire de l'initialisation:

    $httpProvider.defaults.withCredentials = true;

    OriginalL'auteur Vedran

  8. 0

    C'est ma solution.

    Mondiale.asax*

    protected void Application_BeginRequest(object sender, EventArgs e)
{
    if(!ListOfAuthorizedOrigins.Contains(Context.Request.Headers["Origin"])) return;

    if (Request.HttpMethod == "OPTIONS")
    {
        HttpContext.Current.Response.Headers.Remove("Access-Control-Allow-Origin");
        HttpContext.Current.Response.AddHeader("Access-Control-Allow-Origin", Context.Request.Headers["Origin"]);
        HttpContext.Current.Response.StatusCode = 200;
        HttpContext.Current.Response.End();
    }

    if (Request.Headers.AllKeys.Contains("Origin"))
    {
        HttpContext.Current.Response.Headers.Remove("Access-Control-Allow-Origin");
        HttpContext.Current.Response.AddHeader("Access-Control-Allow-Origin", Context.Request.Headers["Origin"]);
    }
}

    OriginalL'auteur Dblock247