MVC授權屬性+ HttpUnauthorizedResult + FormsAuthentication

Question

在CodePlex上瀏覽MVC部分後，我注意到MVC中的[Authorize]屬性在授權失敗時返回HttpUnauthorizedResult（）（codeplex AuthorizeAttribute class）。

在CodePlex中的HttpUnauthorizedResult（）的源代碼是（我不允許輸入另一個URL，因爲我的代表不夠高，但用22929＃266476替換上面的URL上的數字）：

// 401 is the HTTP status code for unauthorized access - setting this 
// will cause the active authentication module to execute its default 
// unauthorized handler 
context.HttpContext.Response.StatusCode = 401; 

特別是，註釋描述了認證模塊的默認未授權處理程序。

我似乎無法找到有關此默認未經授權的處理程序的任何信息。特別是，我沒有使用FormsAuthentication，當授權失敗時，我得到一個醜陋的IIS 401錯誤頁面。

有沒有人知道這個默認的未授權處理程序，特別是FormsAuthentication如何掛鉤以覆蓋它？

我正在爲我的足球隊寫一個非常簡單的應用程序，他們確認或否認他們是否可以參加特定的比賽。如果我在Web.config中啓用FormsAuthentication，重定向的工作方式，但我沒有使用FormsAuthentication，我想知道是否有解決方法。

Answer 1

如果您有Reflector，請查看System.Web.Security.FormsAuthenticationModule.Init（）。此方法掛接Application_EndRequest並調用OnLeave（）。 OnLeave（）方法檢查響應代碼是否爲HTTP 401.如果是，則模塊執行重定向而不是將401冒泡到客戶端。 （這個邏輯就是評論所說的'默認未授權處理程序'）。在你的特定情況下，ASP.NET讓401冒泡到客戶端，但IIS攔截它並顯示一個醜陋的錯誤頁面。

你可以在Global.asax中做一些非常類似的事情。創建一個方法Application_EndRequest;此方法將在您的應用程序提供服務的每個請求結束時調用。從這裏，你可以做任何你想做的事。如果您想檢查回覆是否爲401並將其重定向到其他頁面，則可以從此處進行。