リダイレクトされるのは Cookie 認証を使う場合

この未ログイン時にログインページへリダイレクトする挙動は主にブラウザで利用している場合を想定しているので、認証にクッキーを使っている場合のみ発動します。

なので JWT Bearer を使うように設定している場合には、常に HTTP 401 が返るようになります。

しかし Twitter や OpenID Connect などを使う場合にはクッキーを組み合わせて使うので、ほとんどの場合はこの条件を満たすことになります。外部に公開する API では JWT Bearer を使うのが良いでしょう。

Challenge と Unauthorized は別

ASP.NET では HTTP 401 を返しても、強制的にリダイレクトにされていましたが、ASP.NET Core では適切な形で実装されています。具体的には ChallengeResult を返した場合はリダイレクトされますが、UnauthorizedResult を返すと HTTP 401 が返ります。

Authorize 属性を付けると、未ログイン時には ChallengeResult が返されているという仕組みです。

// リダイレクトされる
[Authorize]
public IActionResult Test1()
{
    return View();
}

// リダイレクトされる
public IActionResult Test2()
{
    return Challenge();
}

// リダイレクトされない (HTTP 401 になる)
public IActionResult Test3()
{
    return Unauthorized();
}

この辺りの処理を行っているのは Security Middleware なので ASP.NET Core MVC とは切り離されているのが特徴です。最終的には AuthenticationHandler の呼び出しが行われています。

X-Requested-With を付ける

基本的に Web API で HTTP 401 を返す場合には、リダイレクトではなくそのまま返ってほしいです。

一応 ASP.NET Core のデフォルト実装では X-Requested-With ヘッダーに XMLHttpRequest が指定されている場合には、リダイレクトしないようになっています。

ログインページにリダイレクトされていたのが、X-Requested-With を付けると HTTP 401 になります。

クッキーで認証しつつ Web API を利用する状況はほぼブラウザ経由なので、これでほとんどのケースで意図したとおりの挙動になるはずです。

OnRedirectToLogin を差し替える

基本的にはデフォルトの実装で問題は発生しない思いますが、どうしてもクッキーで認証しつつもログインページにリダイレクトさせたくない場合は OnRedirectToLogin の実装を差し替えて対応します。

デフォルトの実装は X-Requested-With が付いていない場合にリダイレクトするようになっています。

なので、常に 401 を返すように変えてしまえば、全てのリクエストで HTTP 401 が返るようになります。

services.ConfigureApplicationCookie(options =>
{
    options.Events.OnRedirectToLogin = ctx =>
    {
        ctx.Response.StatusCode = 401;

        return Task.CompletedTask;
    };
});

実際に試すと、リダイレクトされずにちゃんと 401 が返っていることが確認できます。

個人的には ASP.NET Core MVC 2.1 で追加された ApiController 属性を指定するとリダイレクトする挙動を自動でオフにしてほしかったですが、現時点で実装するのは地味にめんどくさい感じです。

一応 Issue では話が進んでいて、Feature の追加で API かどうか判別できるようになるかも、ということらしいです。判別できれば OnRedirectToLogin で処理してしまうだけなので簡単です。

2.2 か 3.0 で対応されるっぽいので、リリース後にはこの辺りの悩みとは無縁になるのでしょう。

とはいえ、クッキーで外部 API の認証を行うのは間違っているので、ここは素直に JWT などに移行した方が良いと思います。そちらの方がスマートに解決できます。