.net core 2.1中的新(ish)[ApiController]属性是否应该为未经授权的请求返回401响应而不是302?

我找不到任何文件,但对我来说似乎合乎逻辑,但在测试时似乎仍然会返回302.如果没有,可能,或者为什么这不是一个好主意,这是否意味着我仍然需要做一些时髦的事情我在这里探讨的OnRedirectToLogin How to return 401 instead of 302 in ASP.NET Core?

我的项目是SPA,因此有一个MVC控制器为应用程序提供服务,然后是一系列API控制器 . 我正在使用CookieAuthentication,这可能是问题所在 . 有没有办法为服务于SPA的MVC进行Cookie身份验证,然后另一种身份验证方案可能验证API控制器的承载令牌而不分离到单独的项目?

非常感谢,Ed