Хочу получить не 302, а 401, если неаутентифицированный юзер пытается получить доступ к [Authorize] контроллеру

Нагуглил только эту статью
https://dotnetcoretutorials.com/2017/09/16/cookie-authentication-asp-net-core-2-0/




Но, во-первых, оно у меня не заработало.
Во-вторых - я не совсем понимаю место этого решения в настройке Identity.
Предлагается установить пакет
Зачем, если Identity и так работает.

Или же предполагается, что я вообще не должен ставить Identity и не использовать
Тогда не понятно, что со всеми остальными плюшками - UserManager и т.п.

Редирект происходит еще на сервере.
На клиенте 401 я не увижу, увижу 302.
Статья, ссылку на которую ты дал, относится к Core 1.x
В Core 2.0 нет options.Cookies

hVosttвариантов решения много. зависит чего ты хочешь в конечном счёте. вообще для всех запросов возвращать 401? или только при обращении к API? или только при обращениях AJAX?Я почему-то не нашел ни один.
По большому счету для запросов к "/api/...". Сейчас все запросы такие, но в дальнейшем вероятно появятся и несколько страниц MVC. Запросы пока идут от WPF-клиента, в будущем могут быть запросы от браузера (как к апи, так и к обычным страницам)
hVosttотключить challenge совсем так (для куки):Повторяю - это решение для Core 1.x, в Core 2.0 этого нет.

hVosttу тебя не заработало, потому что ты не сделал предварительно context.Response.Clear();Ну сделал - не помогло. В эту часть кода он вообще не заходит.

hVosttну фиг знает, у нас всё работает :)У вас все работает на Core 2.0?
Какой вариант, который ты привел, которого нет в Core 2.0?
Или который я привел, но тогда подскажи, как выглядит конфигурация Identity в Startup и какие пакеты используются.

hVosttдобавь middleware, который будет в конце pipeline ловить 302 редирект и возвращать 401, это будет железно работатьЯ с тем же успехом могу считать статус 302 на клиент статусом отсутствия авторизации. Но хочется же по уму сделать

hVosttУ нас OpenId Connect и SSO, вообще не пользуеся моделью Identity хранилища и этой инфраструктуройа, ну тогда понятно

hVosttНадо исходники зырить, либо твои, либо ASP.NET COre, благо они в открытом доступе.Не, ну а чо зырить, пока я буду изучать, что там понаворотили, уже третья версия выйдет и опять все перепишут.

Внутри services.AddIdentity пачка регистраций сервисов, в том числе и этого действия. По идее, можно раскурить, продублировать и переопределить ненужное и использовать вместо services.AddIdentity всю это последовательность. Но я не люблю коробку ковырять, они потом опять что-нить переделают.

Раньше ведь был AutomaticChallenge = false, вещь востребованная, может одумаются и добавят настройку.

Во-первых, там вместо
New:app.AddAuthentication
по всей видимости следует читать
services.AddAuthentication

И тогда мы возвращаемся к первому моему вопросу - какое место здесь занимает services.AddIdentity?
И если его убрать, то как мне организовывать свой класс пользователя.
Тут вроде все понятно разжевано - реализовываешь свой класс юзера и хранилища и всё, дальше работает из коробки. А если без services.AddIdentity, то как тогда?

Я вообще может где-то заблудился - Authentication в данном случае часть Identity или это взаимоисключающие вещи, или перпендикулярные?