如何在WebAPI 2中进行CORS身份验证？

Question 1

场景很简单，我需要从另一台服务器（不同于API服务器）登录以检索访问令牌。

我Microsoft.Owin.Cors在API服务器上安装了软件包。在Startup.Auth.cs文件中的下public void ConfigureAuth(IAppBuilder app)，我添加了

app.UseCors(Microsoft.Owin.Cors.CorsOptions.AllowAll);

在WebApiConfig.cs中的下public static void Register(HttpConfiguration config)，我添加了以下几行：

// Cors
var cors = new EnableCorsAttribute("*", "*", "GET, POST, OPTIONS");
config.EnableCors(cors);

我还应该改变什么？

Question 2

看看我发现了什么！

在中添加一些自定义标头<system.webServer>。

<httpProtocol>
  <customHeaders>
    <add name="Access-Control-Allow-Origin" value="*" />
    <add name="Access-Control-Allow-Methods" value="GET, POST, OPTIONS, PUT, DELETE" />
  </customHeaders>
</httpProtocol>

然后，我可以进行CORS身份验证。

Question 3

我为基于AngularJS的Web客户端设置了很多尝试和错误。
对我而言，以下方法适用于ASP.NET WebApi 2.2和基于OAuth的服务。

安装Microsoft.AspNet.WebApi.Corsnuget软件包。
安装Microsoft.Owin.Corsnuget软件包。
在Startup.cs文件config.EnableCors(new EnableCorsAttribute("*", "*", "GET, POST, OPTIONS, PUT, DELETE"));的WebApiConfig.Register(config);行上方添加。
添加app.UseCors(Microsoft.Owin.Cors.CorsOptions.AllowAll);到Startup.Auth.cs文件。这必须在致电之前完成IAppBuilder.UseWebApi
删除Blaise所做的所有xml设置。

在这里的stackoverflow或博客文章中，我发现了许多设置变化和组合。因此，布莱斯的做法可能是错误的，也可能不是错误的。我认为这只是另一个设置。

Question 4

经过数小时的搜索并查看了许多不同的解决方案，我设法按照以下方法进行工作。

发生这种情况有多种原因。您很可能在错误的位置启用了CORS，或者启用了两次或根本没有启用。

如果您使用的是Web API和Owin令牌端点，则需要删除Web API方法中对CORS的所有引用，并添加正确的owin方法，因为Web api cors不能与Token端点一起使用，而Owin cors可以同时用于两个Web上。 API和令牌认证端点，因此让我们开始吧：

确保已安装Owin Cors软件包。删除所有具有eg.config.EnableCors（）;的行。从您的WebAPIconfig.cs文件
转到您的startup.cs文件，并确保在运行任何其他配置之前执行Owin Cors。

app.UseCors（Microsoft.Owin.Cors.CorsOptions.AllowAll）; ConfigureAuth（app）;
如果仍然有问题，请转到：Startup.Auth.cs并确保您的ConfigureAuth方法中包含以下内容（如果您的startup.cs文件正确，则不需要此内容）

app.UseCors(Microsoft.Owin.Cors.CorsOptions.AllowAll);

Question 5

web.config

<appSettings>
  <add key="cors:Origins" value="*" />
  <add key="cors:Headers" value="*" />
  <add key="cors:Methods" value="GET, POST, OPTIONS, PUT, DELETE" />
</appSettings>

启动文件

var appSettings = WebConfigurationManager.AppSettings;

// If CORS settings are present in Web.config
if (!string.IsNullOrWhiteSpace(appSettings["cors:Origins"]))
{
    // Load CORS settings from Web.config
    var corsPolicy = new EnableCorsAttribute(
        appSettings["cors:Origins"],
        appSettings["cors:Headers"],
        appSettings["cors:Methods"]);

    // Enable CORS for ASP.NET Identity
    app.UseCors(new CorsOptions
    {
        PolicyProvider = new CorsPolicyProvider
        {
            PolicyResolver = request =>
                request.Path.Value == "/token" ?
                corsPolicy.GetCorsPolicyAsync(null, CancellationToken.None) :
                Task.FromResult<CorsPolicy>(null)
        }
    });

    // Enable CORS for Web API
    config.EnableCors(corsPolicy);
}

注意事项：app.UserCors(...)应在配置ASP.NET Identity之前调用。

来源：ASP.NET Web应用程序入门工具包（ASP.NET Web API，Identity，SignalR）

Question 6

为了详细介绍Youngjae的答案，有一个很棒的教程，内容是使用Web API设置OWIN并在以下过程中启用CORS： http://bitoftech.net/2014/06/01/token-based-authentication-asp-net-web- api-2-owin-asp-net-identity /

您需要使用以下命令为CORS添加NuGet软件包：
Install-Package Microsoft.Owin.Cors -Version 2.1.0

然后加
app.UseCors(Microsoft.Owin.Cors.CorsOptions.AllowAll);

到Startup.cs中的Configuration方法，因此它类似于：

public void Configuration(IAppBuilder app)
{
    HttpConfiguration config = new HttpConfiguration();
    ConfigureOAuth(app);
    WebApiConfig.Register(config);
    app.UseCors(Microsoft.Owin.Cors.CorsOptions.AllowAll);
    app.UseWebApi(config);
}

Question 7

找到我的答案是在

Web Api 2 Preflight CORS请求载体令牌

具体而言，使用OAuthAuthorizationServerProvider.GrantResourceOwnerCredentials实现的/ Token请求再次添加了标头。在任何其他OWIN配置之前添加OWIN CORS内容，并按照该链接从GrantResourceOwnerCredentials中删除标头，然后瞧。祝好运。

Question 8

我只想分享我的经验。我花了一半的时间来敲打头，努力使它正常工作。我读了许多文章和SO问题，最后我弄清楚了什么地方出了问题。

线

app.UseCors(Microsoft.Owin.Cors.CorsOptions.AllowAll);

不是Startup班上第一个Configuration方法中。当我将它移到顶部时，一切开始神奇地工作。

而在没有自定义页眉web.config或config.EnableCors(corsPolicy);或其他任何东西是必要的。

希望这可以帮助某人节省一些时间。

Question 9

您可以在这里找到在不同范围内启用CORS的多种方法： http //www.asp.net/web-api/overview/security/enabling-cross-origin-requests-in-web-api

无论如何，我遇到了同样的问题，并且通过以不同方式添加标头并没有得到完整的解决方案。

我发现IIS使用的处理程序会在您未指定相反的情况下覆盖您的CORS Web应用程序配置。

就我而言，我还必须通过在应用程序的主Web.config中添加以下配置来删除IIS处理程序的用法：

<system.webServer>
    <handlers>
      <remove name="ExtensionlessUrlHandler-Integrated-4.0" />
      <remove name="OPTIONSVerbHandler" />
      <remove name="TRACEVerbHandler" />
      <add name="ExtensionlessUrlHandler-Integrated-4.0" path="*." verb="*" type="System.Web.Handlers.TransferRequestHandler" preCondition="integratedMode,runtimeVersionv4.0" />
    </handlers>
</system.webServer>

请注意，根据新项目的类型，在创建新项目时可能会默认设置此配置，但是如果从头开始，则可能必须添加此配置。

Question 10

添加客户标题可能不会给您太多自定义安全需求的自由。它向世界开放了api的所有其他部分。以下代码仅针对“令牌”执行此操作，并且应通过EableCors注释完成api控制器的其他部分。

public void ConfigureAuth(IAppBuilder app)
{
    //other stuff
    app.Use(async (context, next) =>
    {
        IOwinRequest req = context.Request;
        IOwinResponse res = context.Response;
        if (req.Path.StartsWithSegments(new PathString("/Token")))
        {
            var origin = req.Headers.Get("Origin");
            if (!string.IsNullOrEmpty(origin))
            {
                res.Headers.Set("Access-Control-Allow-Origin", origin);
            }
            if (req.Method == "OPTIONS")
            {
                res.StatusCode = 200;
                res.Headers.AppendCommaSeparatedValues("Access-Control-    Allow-Methods", "GET", "POST");
                res.Headers.AppendCommaSeparatedValues("Access-Control-    Allow-Headers", "authorization", "content-type");
                return;
            }
        }
        await next();
    });
    //other stuff
}

要启用Cors，请按照此处的说明进行操作。

Question 11

使用OWIN中间件处理CORS时，我们不需要在WebAPIConfig或web.config文件上添加标头。是的，当您想要公共访问时，可以在web.config文件中添加标头确实可以，但是如果您需要基于白名单（域）限制访问，则不再允许“全部”访问。

使用OWINS，我们可以通过实现以下处理程序来解决此问题：

OAuthAuthorizationServerProvider.MatchEndpoint

使用此处理程序，我们可以检测请求方法（OPTIONS，POST ...）以及是否应将请求视为Authorize或Token端点。这是可以在其中添加逻辑以检查Origin头（请求）并通过添加响应头Access-Control-Allow-Origin来验证是否应允许该域的区域。

string origin = context.Request.Headers.Get("Origin");
var found = IsDomainAllowed(origin);
 if (found){
      context.Response.Headers.Add("Access-Control-Allow-Origin",
                             new string[] { origin });
 }

有关此背景的更多信息，请查看以下链接：http : //www.ozkary.com/2016/04/web-api-owin-cors-handling-no-access.html

Question 12

完全溶解。您只需要更改一些文件，即可为我工作。

Global.ascx

public class WebApiApplication : System.Web.HttpApplication {
    protected void Application_Start()
    {
        WebApiConfig.Register(GlobalConfiguration.Configuration);
    } }

WebApiConfig.cs

所有请求都调用了此代码。

public static class WebApiConfig {
    public static void Register(HttpConfiguration config)
    {
        EnableCrossSiteRequests(config);
        AddRoutes(config);
    }

    private static void AddRoutes(HttpConfiguration config)
    {
        config.Routes.MapHttpRoute(
            name: "Default",
            routeTemplate: "api/{controller}/"
        );
    }

    private static void EnableCrossSiteRequests(HttpConfiguration config)
    {
        var cors = new EnableCorsAttribute(
            origins: "*", 
            headers: "*", 
            methods: "*");
        config.EnableCors(cors);
    } }

一些控制器

没什么改变。

Web.config

您需要在web.config中添加处理程序

<configuration> 
  <system.webServer>
    <handlers>
      <remove name="ExtensionlessUrlHandler-Integrated-4.0" />
      <remove name="OPTIONSVerbHandler" />
      <remove name="TRACEVerbHandler" />
      <add name="ExtensionlessUrlHandler-Integrated-4.0" path="*." verb="*" type="System.Web.Handlers.TransferRequestHandler" preCondition="integratedMode,runtimeVersionv4.0" />
    </handlers>   
  </system.webServer> 
</configuration>