javascript - 如何在启用 Windows 身份验证的情况下发送 API 请求？

Question

我正在创建一个使用 React 构建的应用程序，其中 API 请求将从 http://localhost:3000 发送到 .NET 服务器 https://localhost:5000 。这在禁用 Windows 身份验证时有效，但当使用 IIS 启用 Windows 身份验证时，任何请求都会返回 401 未经授权。

我做了相当多的研究，发现我可以通过使用 { withCredentials: true } 发送 axios 请求来很好地发送 GET 请求。如果我发送 POST 请求，这仍然会从服务器返回 401 未经授权，除非我根据以下规范将内容类型设置为 application/x-www-form-urlencoded，将请求设为“简单请求”: https://developer.mozilla.org/en-US/docs/Web/HTTP/CORS .

当启用 Windows 身份验证时，我需要在 Web 配置中添加一些内容才能使这些请求正常工作吗？

这里对类似问题的回答对我没有帮助:Angular 5: Post-request & windows authentication ，由于同时启用了匿名身份验证和 Windows 身份验证，将导致对服务器的初始 GET 请求无法使用 Windows 身份验证获取 Active Directory 用户名，因为匿名身份验证似乎优先。

我可以发出 POST 请求，并将内容类型设置为 application/x-www-form-urlencoded，但这似乎是错误的方法。有什么方法可以在服务器上设置一些设置，以便在启用 Windows 身份验证时，服务器位于 https://localhost:5000将接受来自 http://localhost:3000 的任何 API 请求内容类型为 JSON？

Answer 1

您需要设置CORS在服务器上。

Here有一些资源如何在 Web API 2 中执行此操作

同时符合 W3C 规范 CORS-preflight request never includes credentials所以你可能需要enable Anonymous for OPTIONS requests in IIS

更新:Windows Auth 与 OPTIONS 请求

由于我最近遇到了同样的问题，这里有一个小更新。

Solution 1 (我最初链接的)-添加 <allow verbs="OPTIONS" users="*"/>真的不行。或者更好地说它“有点有效”，因为它需要在 IIS 中启用匿名身份验证，这是使用 Windows Auth 时您不希望的东西

Solution 2实际上确实有效。关键点是Application_AuthenticateRequest里面的代码。同样重要的是，它仅在使用 integrated pipeline 时才有效。 。它解决了 OPTIONS 请求被 Windows Auth 停止的问题(如果您禁用了匿名身份验证，无论您做什么都会发生这种情况)

一些 MS 员工提到的最后一个解决方案 here和 here就是使用IIS模块(插件)IIS CORS 。这是configuration reference简短但有用introduction .

这样做的明显缺点是它需要安装在每台服务器上，包括您自己的开发机器。显然没有简单的方法将其安装到 IIS Express 中。幸运的是，“混血程序员”创造了set of PowerShell scripts自动化这个。对其进行了测试，它运行得很好 - 只是不要忘记 Visual Studio 创建了主 applicationHost.config 的副本(通常位于 MyDocuments\IISExpress\config\ 文件夹中)在解决方案文件夹 .vs\%projectname%\config 中因此您可能需要为此副本再次运行脚本......