.NET Core授權失敗如何自定義響應信息?

原創 Jeffcky 2021-07-12 13:19

前言

在.NET 5之前,當授權失敗即403時無法很友好的自定義錯誤信息,以致於比如利用Vue獲取到的是空響應,不能很好的處理實際業務,同時涉及到權限粒度控制到控制器、Action,也不能很好的獲取對應路由信息。本文我們來看看在.NET 5中爲何要出現針對授權失敗的中間件接口?它是如何一步步衍生出來的呢?以及對於授權失敗根據實際需要如何自定義響應錯誤,以及如何獲取對應路由信息等等

授權失敗自定義響應信息

如下是在.NET 5之前,對於授權處理,我們大多實現自定義的AuthorizationHandler

public class CustomAuthorizeHandler : AuthorizationHandler<CustomAuthorizationRequirement>
{
    protected override Task HandleRequirementAsync(AuthorizationHandlerContext context, CustomAuthorizationRequirement requirement)
    {
        throw new NotImplementedException();
    }
}

public class CustomAuthorizationRequirement : IAuthorizationRequirement
{
    public CustomAuthorizationRequirement()
    {
    }
}

但此時參數給予的是授權上下文,我們並不能拿到當前請求上下文中的相關信息,如果是在mvc中,想必大多是如下這般獲取的

protected override Task HandleRequirementAsync(AuthorizationHandlerContext context, CustomAuthorizationRequirement requirement)
{
    var context = context.Resource as HttpContext;
}

但對於前後分離的web api中,若我沒記錯的話,這樣是獲取到的是空,於是乎我們藉助於注入上下文接口實現,演變成如下這樣

public class CustomAuthorizeHandler : AuthorizationHandler<CustomAuthorizationRequirement>
{
    private readonly IHttpContextAccessor _accessor;
    public CustomAuthorizeHandler(IHttpContextAccessor accessor)
    {
        _accessor = accessor;
    }
    protected async override Task HandleRequirementAsync(AuthorizationHandlerContext context, CustomAuthorizationRequirement requirement)
    {
        var httpContext = _accessor.HttpContext;

        // 授權失敗響應信息
        await httpContext.Response.WriteAsync("授權失敗");

        //響應失敗調用
        context.Fail();

    }
}

通過上下文可以拿到比如用戶聲明信息等等,貌似已經基本滿足我們實際業務需求,那要是我想獲取路由信息又該如何呢?在3.0以下貌似只能通過Path自己解析(個人猜測),從.NET Core 3.0+上,官方開放針對上下文的擴展方法,提供給我們獲取路由節點元數據詳細信息

在該終結點類存在一個元數據屬性,該屬性爲集合,該元數據包含任何你想要的東東

 

這裏必須強調一下,我最喜愛.NET Core的一點是,很多時候我們會封裝類庫,並在類庫中使用到Web APi中相關的上下文一切信息等等,如果是以前.NET Framework怕是有點麻煩

 

比如如上在類庫中獲取上下文接口,如果你還是延續舊思想,查看vs智能提示你是否需要安裝包,你會發現在Web APi中版本和你安裝的版本是對應不上的,這可能是有問題的哈(具體細節我並未深入探究),但實際上我想安裝的是.NET 5

在.NET Core類庫中要實現.NET Core相關基礎框架信息,只需要在類庫項目文件中引入支持.NET Core應用程序包包即可,如此才和當前應用程序版本完全一致

  <ItemGroup>
    <FrameworkReference Include="Microsoft.AspNetCore.App" />
  </ItemGroup>

面向不同羣體讀者,這裏還是重點強調下,以免有些學習.NET Core的童鞋走偏了!話題扯遠了,比如如上述我們想要獲取到元數據中的控制器和action名稱,該元數據集合參數都是object,所以我們想要對應的信息,需要稍微清楚一點.NET Core基本流程處理所提供的各個對象

public class CustomAuthorizeHandler : AuthorizationHandler<CustomAuthorizationRequirement>
{
    private readonly IHttpContextAccessor _accessor;
    public CustomAuthorizeHandler(IHttpContextAccessor accessor)
    {
        _accessor = accessor;
    }
    protected async override Task HandleRequirementAsync(AuthorizationHandlerContext context, CustomAuthorizationRequirement requirement)
    {
        var httpContext = _accessor.HttpContext;

        var endPoint = httpContext.GetEndpoint();

        var controllerActionDescriptor = (ControllerActionDescriptor)endPoint.Metadata
            .ToList().FirstOrDefault(d => d is ControllerActionDescriptor);

        var controllerName = controllerActionDescriptor.ControllerName;

        var actionName = controllerActionDescriptor.ActionName;

    }
}

講到這裏,實現對應抽象授權處理對象,基本上可滿足我們的需求,即使上述拿到上下文並響應,但是在接口響應上我們是獲取不到的,因爲授權上下文,只提供Fail和Succeed方法,要是我們想根據業務失敗後直接響應呢?所以最大的問題出在:我們無法完全控制響應,以及自定義響應。這個時候,經過開發者在github上激烈的反饋,官方在.NET 5給出了,針對授權處理的中間件接口,上下文也已直接對外暴露

public class CustomAuthorizationMiddlewareResultHandler
        : IAuthorizationMiddlewareResultHandler
{

    public async Task HandleAsync(RequestDelegate next,
      HttpContext context, AuthorizationPolicy policy, PolicyAuthorizationResult authorizeResult)
    {
        var endPoint = context.GetEndpoint();

        var controllerActionDescriptor = (ControllerActionDescriptor)endPoint.Metadata
          .ToList().FirstOrDefault(d => d is ControllerActionDescriptor);

        var controllerName = controllerActionDescriptor.ControllerName;

        var actionName = controllerActionDescriptor.ActionName;

        if (!context.User.Identity.IsAuthenticated)
        {
            context.Response.StatusCode = (int)HttpStatusCode.Unauthorized;
            await context.Response.WriteAsync("{\"data\":{\"succeeded\":false,\"code\":401,\"message\":\"登錄已過期,請重新登錄\"}}");
            return;
        }
        else if (!await HandleRequirementEvaluateAsync(context.User, controllerName, actionName))
        {
            context.Response.StatusCode = (int)HttpStatusCode.Forbidden;
            await context.Response.WriteAsync("{\"data\":{\"succeeded\":false,\"code\":403,\"message\":\"您暫無足夠的權限執行該操作\"}}");
            return;
        }
        await next(context);
    }
}

總結

自從.NET 5有了IAuthorizationMiddlewareResultHandler授權中間件接口,一切又是那麼得心應手!

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

創新工具:2024年開發者必備的一款表格控件(二)

系列文章: 《創新工具:2024年開發者必備的一款表格控件》 前言 在現代工作環境中,信息的處理和管理是至關重要的。表格是一種常見的數據呈現和整理工具,被廣泛應用於各行各業。然而,隨着技術的不斷髮展,市場對錶格控件的需求也越來越高。隨着工作

葡萄城技術團隊 2024-05-09 14:31:06

Java ThreadLocal 類的使用

基於 Java - ThreadLocal 類的使用整理 ThreadLocal 表示線程的局部變量,當前線程可以通過 set/get 來對這個局部變量進行操作,其他線程不能對其進行訪問 ThreadLocal 支持泛型,也就是

Higurashi-kagome 2024-05-09 14:27:55

rancher docker 安裝

  sudo docker run --privileged -d --restart=unless-stopped -p 8080:80 -p 443:443 --name=rancher rancher/rancher:stable

hiningrise 2024-05-09 14:25:05

Kafka存儲機制

Kafka之所以有那麼高的吞吐量,很大程度取決於它的存儲機制,一個主題可以有多個partition,每個partition有一個leader和多個副本,讀寫主要通過leader,副本的主要功能還是爲了保證數據的安全性和保證可靠性,當某個pa

人不瘋狂枉一生 2024-05-09 14:22:54

.NET有哪些好用的定時任務調度框架

前言 定時任務調度的相關業務在日常工作開發中是一個十分常見的需求,經常有小夥伴們在技術羣提問:有什麼好用的定時任務調度框架推薦的?今天大姚給大家分享5個.NET開源、簡單、易用、免費的任務調度框架,幫助大家在做定時任務調度框架技術選型的時候

追逐時光 2024-05-09 14:21:54

elk3

  好像還可以用下面方式查尋索引,參考如下       result = requests.get('http://10.xx.xx.57:9200/mysql-slowlog-*/_search', data=json.d

馬昌偉 2024-05-09 14:13:53

aws語音呼叫調用,告警電話

    import requests data = { 'channel': '99x', 'called_number': '135xxx', 'tts_code': 'TTS_xx', 'tts_p

馬昌偉 2024-05-09 14:13:53

mysql~數據完整性考慮~外鍵約束

在MySQL中,當爲表添加外鍵約束時,可以指定在刪除或更新父表記錄時的行爲。下面進行總結: CASCADE:當父表中的記錄被刪除或更新時,自動刪除或更新子表中相關聯的記錄。這意味着如果父表中的記錄被刪除,那麼相應的子表中與之關聯的記錄也

張佔嶺 2024-05-09 14:12:33

深度學習框架火焰圖pprof和CUDA Nsys配置指南

注:如下是在做深度學習框架開發時,用到的火焰圖pprof和 CUDA Nsys 配置指南,可能對大家有一些幫助,就此分享。一些是基於飛槳的Docker鏡像配置的。 一、環境 & 工具配置 0. 開發機配置 # 1.構建鏡像, 記得映射端

Aurelius84 2024-05-09 14:10:13

Python 將PDF轉爲PDF/A、PDF/X,以及PDF/A轉回PDF

PDF/A和PDF/X是兩種有特定用途的PDF格式,具體查看以下: PDF/A是一種用於長期存檔的PDF格式,它旨在確保文檔的內容和格式在未來的訪問中保持不變。如果您需要對文件進行長期存檔,比如法律文件或檔案記錄,將其轉換爲PDF/A格式

E-iceblue 2024-05-09 14:10:03

車牌識別控制檯 可快速整合二次開發

完整車牌號識別程序,可以識別車牌和顏色,可以集成到項目中。可通過啓動參數傳入地址,通過控制檯輸出結果,通過捕獲控制檯輸出流進行快速集成到項目中。 使用深度學習框架實現,識別效率快,識別率高。裏面包含onnx模型文件,先識別車牌外型,再OCR

Billy Yi 2024-05-09 14:09:23

爬蟲兩種繞過5s盾的方法

import cloudscraper proxies = { "http": "http://127.0.0.1:7890", "https": "http://127.0.0.1:7890", } headers =

vye001 2024-05-09 14:06:02

【轉】[C#] WebAPI 防止併發調用二(冥等性)

來自:阿里的 通義靈碼 使用冪等性設計來防止C# WebAPI方法的併發調用是一種推薦的方法,因爲它不會阻塞其他請求,而是確保多次調用同一個操作會產生相同的結果。這裏有一個簡單的示例,說明如何在WebAPI控制器中實現冪等性的API: u

z5337 2024-05-09 14:04:52

【轉】[C#] WebAPI 防止併發調用一(鎖)

來源:阿里的 通義靈碼 在C# WebAPI中,如果你想要使用鎖來防止併發調用,你可以使用System.Threading.Mutex或System.Threading.Lock來實現。但是,這種方法通常不推薦,因爲它可能會導致請求阻塞,從

z5337 2024-05-09 14:04:52

【轉】[SQL Server]關掉 SSMS 的 IntelliSense

來自:https://jingyan.baidu.com/article/60ccbceb66c52625cbb19732.html 選項 - 文本編輯器 - Transact-SQL - IntelliSense 把 啓用 Intelli

z5337 2024-05-09 14:04:52