Forum Mjukvara Programmering och digitalt skapande Tråd Inlägg

Custom 401 response .NET Core 5 API

1
Skriv svar
Permalänk
Medlem

Custom 401 response .NET Core 5 API

Hej!

Testar att bygga ett api i .NET Core 5 men har problem med autentiseringsdelen.
För tillfället använder jag [Authorize]-attributen för controllern, vilket fungerar.
Men jag skulle vilja att det returneras tillbaka ett response i stil med:

{
    "status": 401,
    "message": "Unauthorized"
}

Alternativt göra såhär, dock mycket som repeteras och känns inte som best practise?

Det verkar även gå att göra egen middelware men fick inte fram något som hjälpte mig. Någon som kanske kan förklara?

Jag har även försökt med att göra egna attributer men det känns som att dessa inte riktigt passar för APIer(?).

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Anglaborg:

Hej!

Testar att bygga ett api i .NET Core 5 men har problem med autentiseringsdelen.
För tillfället använder jag [Authorize]-attributen för controllern, vilket fungerar.
Men jag skulle vilja att det returneras tillbaka ett response i stil med:

{
    "status": 401,
    "message": "Unauthorized"
}

Alternativt göra såhär, dock mycket som repeteras och känns inte som best practise?
https://i.imgur.com/y8u9DcN.jpg

Det verkar även gå att göra egen middelware men fick inte fram något som hjälpte mig. Någon som kanske kan förklara?

Jag har även försökt med att göra egna attributer men det känns som att dessa inte riktigt passar för APIer(?).

Gå till inlägget

Använder du JWT? Då kan du konfigurera det i din service container.

            services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme)
                .AddJwtBearer(o =>
                {
                    o.TokenValidationParameters = new TokenValidationParameters
                    {
                        ValidIssuer = ...
                        ...
                    };
                    o.Events = new JwtBearerEvents
                    {
                        OnChallenge = async context =>
                        {
                            // Applicera vilken statuskod som ska sättas
                            context.Response.StatusCode = StatusCodes.Status401Unauthorized;                     
                            await context.Response.WriteAsJsonAsync(new
                            {
                                Status = context.Response.StatusCode,
                                Message = "Unauthorized"
                            });

                            context.HandleResponse();
                        }
                    };
                });

Dock så brukar det räcka med att få tillbaka en 401 så får frontend hantera hur detta ska visas eller om man ska omdirigeras. Felmeddelandet visas i en header som heter WWW-Authenticate.

Gör du som ovan så kommer denna header att försvinna:

Vill du ha med denna också så får du lägga till den manuellt.

   context.Response.Headers.Append(HeaderNames.WWWAuthenticate, $"{context.Options.Challenge} error={context.Error}, error_description={context.ErrorDescription}");
Senast redigerat
Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av zaibuf:

Använder du JWT? Då kan du konfigurera det i din service container.

            services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme)
                .AddJwtBearer(o =>
                {
                    o.TokenValidationParameters = new TokenValidationParameters
                    {
                        ValidIssuer = ...
                        ...
                    };
                    o.Events = new JwtBearerEvents
                    {
                        OnChallenge = async context =>
                        {
                            // Applicera vilken statuskod som ska sättas
                            context.Response.StatusCode = StatusCodes.Status401Unauthorized;                     
                            await context.Response.WriteAsJsonAsync(new
                            {
                                Status = context.Response.StatusCode,
                                Message = "Unauthorized"
                            });

                            context.HandleResponse();
                        }
                    };
                });

https://i.imgur.com/WIptDuu.png

Dock så brukar det räcka med att få tillbaka en 401 så får frontend hantera hur detta ska visas eller om man ska omdirigeras. Felmeddelandet visas i en header som heter WWW-Authenticate.

Gör du som ovan så kommer denna header att försvinna:
https://i.imgur.com/icuIVdN.png

Vill du ha med denna också så får du lägga till den innan context.HandleResponse();

   context.Response.Headers.Append(HeaderNames.WWWAuthenticate, $"{context.Options.Challenge} error={context.Error}, error_description={context.ErrorDescription}");
Gå till inlägget

Detta var precis vad jag letade efter, stort tack!

När jag gör ett request postman får jag dock inte statuskoden i WWW-Authenticate headern, både med och utan koden som du skickade. Den har value = Bearer. Se bild.
EDIT: Glömde context.HandleResponse(); Mycket riktigt så försvann nu WWW-Authenticate headern. Dock fungerade det utan HandleResponse(), vad är det den gör?

En följdfråga, om jag vill lägga till ett eget 403 meddelande, lägger jag till ett nytt "o.Events...."-block eller är det ett "OnChallenge...."-block som behövs?

Senast redigerat
Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Anglaborg:

Detta var precis vad jag letade efter, stort tack!

När jag gör ett request postman får jag dock inte statuskoden i WWW-Authenticate headern, både med och utan koden som du skickade. Den har value = Bearer. Se bild.
EDIT: Glömde context.HandleResponse(); Mycket riktigt så försvann nu WWW-Authenticate headern. Dock fungerade det utan denna, vad är det den gör?

En följdfråga, om jag vill lägga till ett eget 403 meddelande, lägger jag till ett nytt "o.Events...."-block eller är det ett "OnChallenge...."-block som behövs?

https://i.imgur.com/KIHLqV5.png

Gå till inlägget

WWW-Authenticate är en standardiserad header som sätts vid 401 som anger hur man bör agera för att få tillgång till det efterfrågade. I exemplet ovan så är det Bearer token (JWT) som ska användas och orsaken till 401 är att token som använts gått ut.

HandleResponse() skippar all default logik för din Challenge. Dvs det som annars sätts automatiskt.

403 är Forbidden, det är då man är autentiserad men saknar behörighet.

Har korrigerat hur jag skriver ut objektet jämfört med första exemplet. Tror det är bättre att använda WriteAsync med JsonSerializer då default behavior för WriteJsonAsync sätter response till 200OK (vilket skulle kunna skapa problem).
La även på Content-Type header i svaret då du returerar JSON nu istället för enbart en header.

                    o.Events = new JwtBearerEvents
                    {
                        OnChallenge = async context =>
                        {
                            context.Response.ContentType = "application/json";
                            context.Response.StatusCode = StatusCodes.Status401Unauthorized;
                            await context.Response.WriteAsync(JsonSerializer.Serialize(new
                            {
                                Status = context.Response.StatusCode,
                                Message = "Unauthorized"
                            }));

                            context.HandleResponse();
                        },
                        OnForbidden = async context =>
                        {
                            context.Response.ContentType = "application/json";
                            context.Response.StatusCode = StatusCodes.Status403Forbidden;
                            await context.Response.WriteAsync(JsonSerializer.Serialize(new
                            {
                                Status = context.Response.StatusCode,
                                Message = "Forbidden"
                            }));
                        },
                    };
Senast redigerat
Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av zaibuf:

WWW-Authenticate är en standardiserad header som sätts vid 401 som anger hur man bör agera för att få tillgång till det efterfrågade. I exemplet ovan så är det Bearer token (JWT) som ska användas och orsaken till 401 är att token som använts gått ut.

HandleResponse() skippar all default logik för din Challenge. Dvs det som annars sätts automatiskt.

403 är Forbidden, det är då man är autentiserad men saknar behörighet.

Har korrigerat hur jag skriver ut objektet jämfört med första exemplet. Tror det är bättre att använda WriteAsync med JsonSerializer då default behavior för WriteJsonAsync sätter response till 200OK (vilket skulle kunna skapa problem).
La även på Content-Type header i svaret då du returerar JSON nu istället för enbart en header.

                    o.Events = new JwtBearerEvents
                    {
                        OnChallenge = async context =>
                        {
                            context.Response.ContentType = "application/json";
                            context.Response.StatusCode = StatusCodes.Status401Unauthorized;
                            await context.Response.WriteAsync(JsonSerializer.Serialize(new
                            {
                                Status = context.Response.StatusCode,
                                Message = "Unauthorized"
                            }));

                            context.HandleResponse();
                        },
                        OnForbidden = async context =>
                        {
                            context.Response.ContentType = "application/json";
                            context.Response.StatusCode = StatusCodes.Status403Forbidden;
                            await context.Response.WriteAsync(JsonSerializer.Serialize(new
                            {
                                Status = context.Response.StatusCode,
                                Message = "Forbidden"
                            }));
                        },
                    };
Gå till inlägget

Får inte headern att fungera. Har testat både den som du skrev samt den som jag kommenterat ut men lyckas inte få med den oavsett.

EDIT: Löste sig genom att flytta tilläggningen av headern innan WriteAsync()

Senast redigerat
Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Anglaborg:

Får inte headern att fungera. Har testat både den som du skrev samt den som jag kommenterat ut men lyckas inte få med den oavsett.

EDIT: Löste sig genom att flytta tilläggningen av headern innan WriteAsync()
https://i.imgur.com/Z2DmuQK.png

Gå till inlägget

Ja, WriteAsync är som din return. Så du måste sätta statuskod, headers etc innan du skriver.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av zaibuf:

Ja, WriteAsync är som din return. Så du måste sätta statuskod, headers etc innan du skriver.

Gå till inlägget

Grymt! Då tror jag nog att jag kommer vidare.

Stort tack för hjälpen!

Redigera
Citera flera Citera
1
Skriv svar