Question

我们在web api 2中遇到了新的OWIN auth的一些问题。我们正在开发连接到API服务的移动应用程序，我们需要在登录阶段区分响应。示例：a）错误请求，b）未找到用户，c）密码错误等

不幸的是，如果我故意发错密码，/ Token端点会返回“错误请求”HTTP响应，所以我无法区分这些情况。

检查网络代码，我认为这是重点（用户为空），我可以决定返回什么样的响应，但是如何？

public override async Task GrantResourceOwnerCredentials(OAuthGrantResourceOwnerCredentialsContext context)
    {
        context.OwinContext.Response.Headers.Add("Access-Control-Allow-Origin", new[] { "*" });

        var userManager = context.OwinContext.GetUserManager<ApplicationUserManager>();


        User user = await userManager.FindAsync(context.UserName, context.Password);

        if (user == null)
        {
            context.SetError("invalid_grant", "The user name or password is incorrect.");
            return;
        }

        ClaimsIdentity oAuthIdentity = await user.GenerateUserIdentityAsync(userManager,
           OAuthDefaults.AuthenticationType);
        ClaimsIdentity cookiesIdentity = await user.GenerateUserIdentityAsync(userManager,
            CookieAuthenticationDefaults.AuthenticationType);

        AuthenticationProperties properties = CreateProperties(user.UserName, user.ID);
        AuthenticationTicket ticket = new AuthenticationTicket(oAuthIdentity, properties);
        context.Validated(ticket);
        context.Request.Context.Authentication.SignIn(cookiesIdentity);
    }

提前感谢您的帮助;）

Answer 1

当用户提供无效的用户名或密码或用户处于活动状态时，返回400错误请求是正确的方法，请检查此post here。

从安全角度来看我的建议也是如此，一旦用户尝试登录您的系统，您就不应该返回问题来自哪里，换句话说，您应该返回＆＃34;用户名或密码不正确＆＃34;。当您登录时，很少看到系统返回错误的输入参数，即＆＃34;密码不正确。＆＃34;

如果您必须实现所要求的要求，您可以构建包含（ErrorCode，ErrorDesc）的简单POCO类，并在响应中将其作为JSON对象返回，同时保持http状态代码400.并且对于客户端应用程序当你收到400时，你会读到这个JSON对象。

希望这能回答你的问题。

Answer 2

看起来你可以做类似

的事情

context.Response.StatusCode = 401;
return;

ASP.NET MVC WebApi 2按令牌登录：如何区分返回码？

2 个答案: