Ativar o CORS para autenticação de token Web Api 2 e OWIN

Question

Mar 29, 2016, 03:09 PM

asp.net-web-api2 asp.net-mvc-5 cors asp.net-web-api owin

Ativar o CORS para autenticação de token Web Api 2 e OWIN

Eu tenho um projeto da Web do ASP.NET MVC 5 (localhost: 81) que chama funções do meu projeto WebApi 2 (localhost: 82) usando Knockoutjs, para fazer a comunicação entre os dois projetos que habilito o CORS. Tudo funciona até o momento até que eu tentei implementar a autenticação de token OWIN na WebApi.

Para usar o ponto de extremidade / token no WebApi, também preciso ativar o CORS no ponto de extremidade, mas depois de horas tentando e procurando soluções, ele ainda está funcionando e a api / token ainda resulta em:

XMLHttpRequest cannot load http://localhost:82/token. No 'Access-Control-Allow-Origin' header is present on the requested resource. 

public void Configuration(IAppBuilder app)
{
    app.UseCors(Microsoft.Owin.Cors.CorsOptions.AllowAll);
    TokenConfig.ConfigureOAuth(app);
    ...
}

TokenConfig

public static void ConfigureOAuth(IAppBuilder app)
{
    app.CreatePerOwinContext(ApplicationDbContext.Create);
    app.CreatePerOwinContext<AppUserManager>(AppUserManager.Create);

    OAuthAuthorizationServerOptions OAuthServerOptions = new OAuthAuthorizationServerOptions()
    {
        AllowInsecureHttp = true,
        TokenEndpointPath = new PathString("/token"),
        AccessTokenExpireTimeSpan = TimeSpan.FromDays(1),
        Provider = new SimpleAuthorizationServerProvider()
    };

    app.UseOAuthAuthorizationServer(OAuthServerOptions);
    app.UseOAuthBearerAuthentication(new OAuthBearerAuthenticationOptions());
}

AuthorizationProvider

public override async Task GrantResourceOwnerCredentials(OAuthGrantResourceOwnerCredentialsContext context)
{
    context.OwinContext.Response.Headers.Add("Access-Control-Allow-Origin", new[] { "*" });

    var appUserManager = context.OwinContext.GetUserManager<AppUserManager>();
    IdentityUser user = await appUserManager.FindAsync(context.UserName, context.Password);

    if (user == null)
    {
        context.SetError("invalid_grant", "The user name or password is incorrect.");
        return;
    }
    ... claims
}

IdentityConfig

public static AppUserManager Create(IdentityFactoryOptions<AppUserManager> options, IOwinContext context)
{
    // Tried to enable it again without success. 
    //context.Response.Headers.Add("Access-Control-Allow-Origin", new[] {"*"});

    var manager = new AppUserManager(new UserStore<AppUser>(context.Get<ApplicationDbContect>()));

    ...

    var dataProtectionProvider = options.DataProtectionProvider;
    if (dataProtectionProvider != null)
    {
        manager.UserTokenProvider =
                new DataProtectorTokenProvider<AppUser>(dataProtectionProvider.Create("ASP.NET Identity"));
    }
    return manager;
}

EDITAR:

1. Observação importante é que abrir o terminal diretamente (localhost: 82 / token) funciona.

2. Chamar a API (localhost: 82 / api / ..) a partir do projeto da web também funciona, portanto, o CORS é ativado para WebApi.