.net核心2.1中的新(ish)[ApiController]属性是否应针对未经授权的请求返回401响应而不是302响应?
我找不到任何文档,但对我来说似乎合乎逻辑,但是在测试时,它似乎仍返回302。如果没有,可以,或者为什么这不是一个好主意,这意味着我仍然需要做How to return 401 instead of 302 in ASP.NET Core?
中显示了我的OnRedirectToLogin中的一些时髦内容我的项目是SPA,因此有一个为应用程序提供服务的MVC控制器,然后是一系列API控制器。我正在使用CookieAuthentication,这可能是问题所在。有没有一种方法可以对服务SPA的MVC进行Cookie身份验证,然后再采用另一种身份验证方案来验证API控制器的Bearer令牌,而无需分离到单独的项目?
非常感谢,埃德