タグ: aspnetcore

保護されたエンドポイントが 401 ではなく 405 を返すのは、ほぼ常に認証が実行される前にルーティングが HTTP 動詞を拒否したか、cookie スキームがチャレンジを横取りしたかのどちらかです。ここでは、どちらなのかを見分ける方法を解説します。

有効なトークンなのに 401 になる場合、ほぼ確実に bearer ハンドラーが実行されなかったか、間違ったスキームの下で実行されています。ミドルウェアの順序、既定のスキーム、スキーム名、そしてヘッダーがそもそもハンドラーに届いたかを確認しましょう。

AddKeyedSingleton/Scoped/Transient で同じサービス型の複数の実装をキーの下に登録し、[FromKeyedServices]、GetRequiredKeyedService、または KeyedService.AnyKey で解決します。キー付きとキーなしの登録は別々のテーブルであり、それがほぼ全員が引っかかる落とし穴です。

ASP.NET Core 11 における TokenValidationParameters の完全ガイド: ValidateIssuer、ValidateAudience、ValidateLifetime の動作、実際のデフォルト値、なぜ Authority が発行者と署名キーを自動構成するのか、5 分間の ClockSkew の罠、そして一見有効なトークンが拒否されたときに IDX エラーコードを読む方法を解説します。

ASP.NET Core 11 における bearer トークン API の CORS 完全ガイド。認証に対する UseCors の正しい順序、Authorization ヘッダーの bearer トークンが CORS の資格情報ではない理由、AllowAnyHeader は機能するのに手書きのワイルドカードが Authorization を含めない理由、そして preflight を失敗させない方法を解説します。

静的サーバーレンダリングの Blazor でセッション状態を読むには、HttpContext.Session にアクセスして手動でシリアライズする必要がありました。.NET 11 Preview 5 は [SupplyParameterFromSession] を追加し、コンポーネントのプロパティをセッションキーに直接バインドします。

ASP.NET Core 11 で属性で表現できる同期的なルールには、ソースジェネレーター生成の組み込みバリデーションを使いましょう。データベースを参照する非同期ルール、複雑なフィールド間ロジック、あるいはバリデーションをドメインモデルの外に保ちたい場合は FluentValidation を選びます。

.NET 11 の新しいキャッシュコードでは、デフォルトで HybridCache を使ってください。IMemoryCache はシリアライズ不要で単一サーバーの速度が必要なときだけ、IDistributedCache はバッキングストアとしてのみ選びます。これが判断のためのマトリクスです。

このエラーは Data Protection がトークンに署名したキーを失ったことを意味します。キーを共有された永続的なストアに保存し、SetApplicationName を呼び出して、すべてのインスタンスが同じキーリングを読み取るようにします。

サーバーで静的にレンダリングされる Blazor フォームは、完全な POST のラウンドトリップの後でしか検証できませんでした。.NET 11 Preview 5 は検証メタデータをレンダリングし、Blazor の JS が DataAnnotations のルールをブラウザーで適用します。circuit は不要です。