.net core下訪問控制層的實現

原創 Bug生活2048 2018-09-18 18:28
在上一篇.net core下對於附件上傳下載的實現主要介紹了 .net core下文件上傳下載的相關操作,本篇主要介紹下對於權限驗證如何通過自定義的中間件進行攔截實現。

對於一般的程序而言,如果在未登錄的情況下理應是沒有對應的權限訪問對應的頁面的,同時,不同的用戶也需要驗證該用戶權限是否滿足條件。

對於後端服務來說,就需要有個中間層進行攔截,驗證對應的http請求是否滿足權限要求。

這裏我們用到了Middleware-請求管道,通過自定義中間件的方式來實現對Http請求的攔截,實現相關驗證。

對於Middleware-請求管道的原理和解釋可以參考這篇文章:Middleware-請求管道的構成

實現邏輯

用戶在登錄成功後,我們在服務端會自動生成一個Token,這個Token會綁定對應的權限,同時保存到Redis中。

我們自定義的中間層會攔截請求,獲取請求中的Token是否合法,若不合法會對該請求進行攔截。

通過使用UseMiddleware擴展方法,將攔截到的HttpContext進行相應的邏輯處理。

具體代碼

首先我們自定義一個權限控制的中間件,SecurityMiddleware類就是我們具體的邏輯實現。

public static IApplicationBuilder UseSecurity(this IApplicationBuilder builder)
{
    return builder.UseMiddleware<SecurityMiddleware>();
}

Startup.cs中的Configure方法下,我們添加我們自定義的中間件:

public void Configure(IApplicationBuilder app, IHostingEnvironment env)
{
    if (env.IsDevelopment())
    {
        app.UseDeveloperExceptionPage();
    }

    app.UseSwagger();
    app.UseSwaggerUI(c => {
        c.SwaggerEndpoint("/swagger/v1/swagger.json", "我的API V1");
    });

    app.UseSecurity();//自定義中間件

    app.UseMvc();
}

接下來我們具體實現對應的SecurityMiddleware類,主要實現對應的Invoke方法

public async Task Invoke(HttpContext context)
{
    string path = context.Request.Path.ToString().ToLower();

    // 判斷請求的路徑是否是排除權限限制的(如登錄頁,登錄頁)
    if (excludeUrl.Contains(path))
    {
        await _next(context);
        return;
    }

    // 尋找header中的token
    string userToken = string.Empty;            
    bool hasValue = context.Request.Headers.TryGetValue(INVOKER_TOKEN_HEADER, out StringValues token);
    if (!hasValue || token.Count == 0)
    {
        // 若header沒取到token,則嘗試從cookie中獲取
        userToken = context.Request.Cookies[USER_TOKEN_COOKIE_NAME];
        if(string.IsNullOrWhiteSpace(userToken))
        {
            // TODO: 尚未登錄,未經授權
            await CreateUnauthorizedResponse(context);

            return;
        }
    }
    else
    {
        userToken = token[0];
    }

    //根據對應的Token到Redis中找對應的權限數據,若沒找到,說明沒有授權
    var userInfo = await GetUserInfo(userToken);
    if (userInfo == null)
    {
        // TODO: 尚未登錄,未經授權
        await CreateUnauthorizedResponse(context);
        return;
    }

    //可繼續針對請求判斷是否有相對應的權限
}

對應構造Response方法:

private static async Task CreateUnauthorizedResponse(HttpContext context)
{
    context.Response.StatusCode = (int)HttpStatusCode.Unauthorized;
    context.Response.ContentType = "application/json;charset=utf-8";

    ResponseResult result = new ResponseResult
    {
        Result = false,
        ErrorMessage = "您需要登錄後訪問此資源,請先進行登錄操作。",
        Code = ResponseCode.Unauthorized
    };

    await context.Response.WriteAsync(JsonConvert.SerializeObject(result), Encoding.UTF8);
}

到這裏,我們基本上實現的對應的控制訪問。

總結

對於本篇來說,還是需要去了解下 .net core的運行原理,以便更好的去實現你想要的方法。

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

C# 基於SharpPcap的局域網數據包捕獲 之二 監聽代碼

優惠碼大使 2019-02-24 19:41:12

[C#]“冒泡排序”示例代碼

五子連星 2019-02-23 13:23:12

C#數據類型

鄭美華 2019-02-23 00:20:32

C# 中的委託和事件

zachary_woo 2019-02-23 00:15:11

c#的漂亮界面

nageqd 2019-02-22 23:56:16

告警程序實例(c#實現)

xiaoshu838 2019-02-22 23:23:50

看陳廣老師c#參考視頻總結(第七篇)

xiaoshu838 2019-02-22 23:23:46

面向對象設計模式與原則

xiaoshu838 2019-02-22 23:23:46

看陳廣老師c#參考視頻總結(第一篇)

xiaoshu838 2019-02-22 23:23:46

61條面向對象的設計原則

xiaoshu838 2019-02-22 23:23:45

ASP.NET正則表達式提取網頁資源

jackywei1987 2019-02-23 13:51:42

ASP.NET一般處理程序(.ashx.cs)中使用Session的問題

1290605023 2019-02-23 00:06:09

IIS中關於僞靜態的設置

waymy 2019-02-22 23:57:02

使用Javascript,CSS和Ajax創建ASP.NET自定義控件

ssbird 2019-02-22 23:37:28

C# asp.net實現文件上傳

lCarrieLiul 2019-02-22 23:36:23