Se l'utente non ha effettuato l'accesso e richiede un'azione contrassegnata con [Authorize], la risposta è un reindirizzamento all'azione Account/LogOn (codice di stato 302 Trovato).C'è un modo per rendere AuthorizeAttribute rispondere con il codice di stato 403 Proibito piuttosto che un reindirizzamento?
C'è un modo per rendere invece la risposta il codice di stato 403 Proibito?
Creare un filtro azione che eredita da AuthorizeAttribute. Poi l'override di questo metodo:
protected override void HandleUnauthorizedRequest(AuthorizationContext filterContext)
{
Response.StatusCode = 403;
Response.Status = "Forbidden";
Response.StatusDescription = "Forbidden";
Response.End();
Response.Close();
}
Se l'utente non è connesso in poi il codice di stato più appropriato è 401: non autorizzato. Questo è ciò che l'AuthorizeAttribute restituisce di default.
FormsAuthenticationModule prenderà questo codice di ritorno e lo convertirà nel reindirizzamento. Se è possibile disabilitare (o non caricarlo nemmeno), questo verrà restituito al chiamante.
È per un'interfaccia REST? –
@Chris: No, ma per curiosità perché lo chiedi? Stavo scrivendo un'azione HttpPost per la quale volevo semplicemente vietare la richiesta se l'utente non era connesso al reindirizzamento all'azione LogOn. –
FYI - [Autorizza] * fa * restituisce un 403 Proibito. FormsAuthenticationModule intercetta 403 risposte e le trasforma in reindirizzamenti alla pagina di accesso. Se non si utilizza l'autenticazione basata su form, è possibile modificare la sezione di Web.config in modo che rifletta ciò in modo che FormsAuthenticationModule non esegua questa logica. –
Levi