c# - MVC Owin Cookie 身份验证 - 覆盖 ReturnUrl 生成

我有一个使用 Owin Cookie 身份验证的 MVC 应用程序。我启用了 SlidingExpiration 并正常工作。但是，当用户的登录过期并将它们发送回 LoginPath 时，ReturnUrl 给我带来了一些问题:

我只希望 ReturnUrl 包含在指向 GET 操作的情况下， 而不是 POST 操作。

我想包括 PathAndQuery 而不仅仅是 Path 以便我可以重新填写用户可能在表单上填写的任何项目。

我尝试创建自己的 AuthorizeAttribute(下面的代码)并将其应用于我的一个 Controller 中的某些方法，但似乎在 session 过期时它永远不会被命中。

public class CheckLoginExpirationFilter : AuthorizeAttribute
{
    public override void OnAuthorization(AuthorizationContext filterContext)
    {
        base.OnAuthorization(filterContext);

        if (filterContext.Result is HttpUnauthorizedResult)
        {
            string returnUrl = null;
            if (filterContext.HttpContext.Request.HttpMethod.Equals("GET", StringComparison.CurrentCultureIgnoreCase))
                returnUrl = filterContext.HttpContext.Request.Url.GetComponents(UriComponents.PathAndQuery, UriFormat.SafeUnescaped);

            filterContext.Result = new RedirectToRouteResult(new RouteValueDictionary()
        {
            { "client", filterContext.RouteData.Values[ "client" ] },
            { "controller", "Security" },
            { "action", "Login" },
            { "ReturnUrl", returnUrl }
        });
        }
    }
}

answer to a related question 表示自定义 AuthorizeAttribute 是“标准 [解决方案]，当您想要覆盖此行为时”，但我似乎无法让它工作。

最佳答案

看起来我想通了:我改变了我的启动配置如下:

    public class Startup
{
    public void Configuration(IAppBuilder app)
    {
        app.UseCookieAuthentication(new CookieAuthenticationOptions
        {
            AuthenticationType = DefaultAuthenticationTypes.ApplicationCookie,
            LoginPath = new PathString("/Security/Login"),
            CookieSecure = CookieSecureOption.SameAsRequest,
            SlidingExpiration = true,
            CookieName = "Program.Auth",
            ExpireTimeSpan = TimeSpan.FromSeconds(15)/*FromHours(1)*/,
            Provider = new CookieAuthenticationProvider { OnApplyRedirect = CustomRedirect }
        });

        // TODO - Figure out what claims type to base this on.
        AntiForgeryConfig.UniqueClaimTypeIdentifier = ClaimTypes.Email;
    }

    private static void CustomRedirect(CookieApplyRedirectContext context)
    {
        var redirectUrl = context.Options.LoginPath.ToString();
        if (context.Request.Method == WebRequestMethods.Http.Get)
        {
            var returnUrl = context.Request.Path.ToString();
            if (!string.IsNullOrEmpty(returnUrl) && !returnUrl.Equals("/"))
                redirectUrl += "?" + context.Options.ReturnUrlParameter + "=" + returnUrl;
        }
        else if (context.Request.Method == WebRequestMethods.Http.Post)
        {
            //TODO: add toastr message showing that the post did not succeed
        }
        context.Response.Redirect(redirectUrl + "?tbn=inactive");
    }
}

现在我只得到 GET 请求的 ReturnUrl。我使用 PathAndQuery 进行了测试，但到目前为止它一直导致其他问题。目前，我想说这里的主要问题已经解决了。

关于c# - MVC Owin Cookie 身份验证 - 覆盖 ReturnUrl 生成，我们在Stack Overflow上找到一个类似的问题：https://stackoverflow.com/questions/35342725/