首页 文章

允许匿名访问ASP.NET Web API控制器,而其他应用程序在Windows身份验证下运行

提问于
浏览
11

我有一个启用了Windows身份验证的ASP.NET Web应用程序 . 我需要在该应用程序中编写一个ASP.NET Web API控制器,该控制器使用应用程序的一些数据访问逻辑 . 我不想单独为Web API创建一个新项目,因为我只需要公开一个处理几个请求的小 endpoints .

Web API客户端将匿名使用该服务 . 为此,我尝试在两个控制器上使用AllowAnonymous操作过滤器以及操作 . 但是,当我尝试使用Fiddler访问API时,请求失败,状态401表示“401 - 未授权:由于凭据无效而拒绝访问” .

有没有办法实现这个目标?

3 回答

  • 14

    我参加派对有点晚了,但确保启用了匿名身份验证 . 然后加:

    <configuration>
      ...
      <location path="api/...">
        <system.web>
          <authorization>
            <allow users="?"/>
          </authorization>
        </system.web>
      </location>
    </configuration>
    

    到你的web.config .

    我假设你有:

    <system.web>
      ...
      <authentication mode="Windows" />
      <authorization>
        <deny users="?" />
      </authorization>
    </system.web>
    

    这对我有用 .

  • 1

    好吧 - 所有需要身份验证的控制器都需要Authorize属性(可能是全局过滤器) - 然后在不需要authN的那些上使用AllowAnonymous .

    然后确保在IIS中为vdir启用了匿名身份验证 - 并确保web.config中没有全局授权元素 .

  • 8

    我使用Visual Studio 2015和.NET 4.5.2解决问题的方法是将Web API项目属性设置为将 Anonymous AuthenticationWindows Authentication 都设置为Enabled(请注意,这些也必须在IIS实例中设置) . 然后在我的控制器中,我修改了需要使用 [Authorize] 属性进行身份验证的方法以及我的自定义身份验证属性的名称 .

    这允许控制器方法的默认配置接受匿名调用,并且只有少数需要身份验证的特殊方法具有额外的装饰器 . 我没有为 web.configWebApiConfig.cs 文件添加任何内容 . Global.asax 确实调用了我的自定义身份验证静态函数,该函数设置了全局值 .

相关问题