Что может привести к игнорированию обработчика?

Question

Что может привести к игнорированию обработчика?

Мы переехали на новый сервер, и мой материал Thinktecture IdentityModel сломался.

Вот супер упрощенный пример воспроизведения. Эта работа выполняется локально из Visual Studio, но развернутый на сервере обработчик явно не обрабатывает.

using System.Web.Http;
using System.Web.Mvc;
using System.Web.Optimization;
using System.Web.Routing;
using Thinktecture.IdentityModel.Tokens.Http;
namespace WebApplication1
{
  public class WebApiApplication : System.Web.HttpApplication
  {
    protected void Application_Start()
    {
      AreaRegistration.RegisterAllAreas();
      GlobalConfiguration.Configuration.MessageHandlers.Add(
        new AuthenticationHandler(CreateConfiguration()));
      GlobalConfiguration.Configure(WebApiConfig.Register);
      FilterConfig.RegisterGlobalFilters(GlobalFilters.Filters);
      RouteConfig.RegisterRoutes(RouteTable.Routes);
      BundleConfig.RegisterBundles(BundleTable.Bundles);
    }
    private AuthenticationConfiguration CreateConfiguration()
    {
      var config = new AuthenticationConfiguration
      {
        EnableSessionToken = true,
        RequireSsl = false,
        SendWwwAuthenticateResponseHeaders = false
      };    
      config.AddBasicAuthentication(
        (username, password) => { return username == password; });    
      return config;
    }
  }
}

Обработчик не выполняется. Я настроил удаленную отладку, и это показало, что

Сборка Thinktecture загружена
Application_Start создает и добавляет базовый обработчик аутентификации

Этот скрипт является тестовым клиентом

  <script>
    $(document).ready(function () {
      var u = "bilbo";
      var p = "bilbo";
      var btoken = btoa(u + ":" + p);
      $.ajax({
        url: "api/token",
        headers: { Authorization: "Basic " + btoken },
      }).then(function (result) {
        document.write("auth ok");
      }).fail(function (error) {
        document.write("auth fail");
      });
    });
  </script>

Выдает запрос на api/token украшен базовым заголовком auth как показано:

GET http://assa.com.au/api/token HTTP/1.1
Accept: */*
Authorization: Basic YmlsYm86YmlsYm8=
X-Requested-With: XMLHttpRequest
Referer: http://assa.com.au/sandpit
Accept-Language: en-AU,en-GB;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0) like Gecko
Host: assa.com.au
Connection: Keep-Alive

Этот сервер отвечает этим 401

HTTP/1.1 401 Unauthorized
Content-Type: text/html
Server: Microsoft-IIS/8.5
WWW-Authenticate: Basic realm="assa.com.au"
X-Powered-By: ASP.NET
Date: Wed, 17 Feb 2016 01:36:27 GMT
Content-Length: 1293

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1"/>
<title>401 - Unauthorized: Access is denied due to invalid credentials.</title>
<style type="text/css">
<!--
body{margin:0;font-size:.7em;font-family:Verdana, Arial, Helvetica, sans-serif;background:#EEEEEE;}
fieldset{padding:0 15px 10px 15px;} 
h1{font-size:2.4em;margin:0;color:#FFF;}
h2{font-size:1.7em;margin:0;color:#CC0000;} 
h3{font-size:1.2em;margin:10px 0 0 0;color:#000000;} 
#header{width:96%;margin:0 0 0 0;padding:6px 2% 6px 2%;font-family:"trebuchet MS", Verdana, sans-serif;color:#FFF;
background-color:#555555;}
#content{margin:0 0 0 2%;position:relative;}
.content-container{background:#FFF;width:96%;margin-top:8px;padding:10px;position:relative;}
-->
</style>
</head>
<body>
<div id="header"><h1>Server Error</h1></div>
<div id="content">
 <div class="content-container"><fieldset>
  <h2>401 - Unauthorized: Access is denied due to invalid credentials.</h2>
  <h3>You do not have permission to view this directory or page using the credentials that you supplied.</h3>
 </fieldset></div>
</div>
</body>
</html>

Visual Studio 2013 показывает допустимые точки останова в обработчике, но они не удаляются. Вот почему я считаю, что обработчик не вызывается.

В ответе указывается область, но изменяется регистрация обработчика, чтобы указать realm = "assa.com.au" не повлияло на результат.

0

authentication thinktecture-ident-model message-handlers

Источник

user1715673 17 фев '16 в 01:31

1 ответ

Решение

Другие вопросы по тегам authentication thinktecture-ident-model message-handlers

user1715673 17 фев '16 в 03:01 2016-02-17 03:01 · Accepted Answer · 2016-02-17 03:01

Ответ заключается в обработке отсутствия косых черт.

Тестовая страница запрашивается как assa.com.au/sandpit который возвращает правильный HTML.

Внимательная проверка ответа 401 показывает, что запрос api/token который не является правильным URL-адресом для устройства выдачи токенов - он должен быть sandpit/api/token

Запрос тестовой страницы как assa.com.au/sandpit/ заставляет запрошенный URL стать sandpit/api/token и все выходит в стирку.

Но почему это 401? Разве это не должно быть 404 не найдено? Оказывается, что веб-сервер был настроен для ответа на неавторизованные запросы, запрашивая у агента пользователя аутентификацию, выраженную как требование аутентификации 401.

Неверный URL оставил вещи в неавторизованном состоянии, что привело к требованию аутентификации 401.