个人中心
gpt4 book ai didi

asp.net-mvc - 实现 MVC 5 IAuthenticationFilter

转载 作者:行者123 更新时间:2023-12-02 01:47:31 25 4
gpt4 key购买 nike

除了 OnAuthentication 在操作执行之前运行和 OnAuthenticationChallenge 在操作执行之后但在处理操作结果之前运行之外,我不明白 OnAuthentication 和 OnAuthenticationChallenge 的目的/区别。

似乎其中任何一个(OnAuthentication 或 OnAuthenticationChallenge)都可以完成身份验证所需的所有操作。为什么需要两种方法?

我的理解是 OnAuthentication 是我们放置身份验证逻辑的地方(或者这个逻辑应该在实际操作方法中?)、连接到数据存储并检查用户帐户。 OnAuthenticationChallenge 是我们在未通过身份验证时重定向到登录页面的地方。它是否正确?为什么我不能只在 OnAuthentication 上重定向而不实现 OnAuthenticationChallenge。我知道我缺少一些东西;有人可以向我解释一下吗?

此外,存储经过身份验证的用户的最佳实践是什么,以便后续请求不必连接到数据库来再次检查用户?

请记住,我是 ASP.NET MVC 的新手。

最佳答案

这些方法实际上有不同的目的:

  • IAuthenticationFilter.OnAuthentication 应用于设置主体,主体是标识用户的对象。

您还可以在此方法中设置一个结果,例如 HttpUnauthorizedResult(这将使您免于执行额外的授权过滤器)。虽然这是可能的,但我喜欢不同过滤器之间的关注点分离。

  • IAuthenticationFilter.OnAuthenticationChallenge 用于在结果返回给用户之前向结果添加“挑战”。

  • 这始终在结果返回给用户之前执行,这意味着它可能在管道的不同点针对不同的请求执行。请参阅下面的ControllerActionInvoker.InvokeAction的解释。

  • 将此方法用于“授权”目的(例如检查用户是否登录或处于某个角色)可能是一个坏主意,因为它可能会在 Controller 操作代码之后执行,因此您可能已更改在执行之前数据库中的某些内容!

  • 其想法是,此方法可用于贡献结果,而不是执行关键的授权检查。例如,您可以使用它将 HttpUnauthorizedResult 转换为基于某些逻辑的到不同登录页面的重定向。或者您可以保留一些用户更改,将他重定向到另一个页面,您可以在其中请求其他确认/信息,并根据答案最终提交或放弃这些更改。

  • IAuthorizationFilter.OnAuthorization 仍应用于执行身份验证检查,例如检查用户是否已登录或属于某个角色。

如果你检查 ControllerActionInvoker.InvokeAction 的源代码,你会得到更好的想法。 。执行操作时会发生以下情况:

    每个身份验证过滤器都会调用

  1. IAuthenticationFilter.OnAuthentication。如果主体在 AuthenticationContext 中更新,则 context.HttpContext.UserThread.CurrentPrincipal 都会更新。

  2. 如果任何身份验证过滤器设置了结果,例如设置 404 结果,则为每个身份验证过滤器调用 OnAuthenticationChallenge,这将允许在返回结果之前更改结果。 (例如,您可以将其转换为登录重定向)。挑战结束后,返回结果,不继续执行步骤 3。

  3. 如果没有任何身份验证过滤器设置结果,则对于每个 IAuthorizationFilter 都会执行其 OnAuthorization 方法。

  4. 与步骤 2 中一样,如果任何授权过滤器设置了结果,例如设置 404 结果,则为每个身份验证过滤器调用 OnAuthenticationChallenge。挑战结束后,返回结果,不继续执行步骤 3。

  5. 如果没有一个授权过滤器设置结果,那么它将继续执行操作(考虑请求验证和任何操作过滤器)

  6. 执行操作后、返回结果之前,为每个身份验证过滤器调用 OnAuthenticationChallenge

我已将 ControllerActionInvoker.InvokeAction 的当前代码复制到此处作为引用,但您可以使用上面的链接查看最新版本:

public virtual bool InvokeAction(ControllerContext controllerContext, string actionName)
{
    if (controllerContext == null)
    {
        throw new ArgumentNullException("controllerContext");
    }

    Contract.Assert(controllerContext.RouteData != null);
    if (String.IsNullOrEmpty(actionName) && !controllerContext.RouteData.HasDirectRouteMatch())
    {
        throw new ArgumentException(MvcResources.Common_NullOrEmpty, "actionName");
    }

    ControllerDescriptor controllerDescriptor = GetControllerDescriptor(controllerContext);
    ActionDescriptor actionDescriptor = FindAction(controllerContext, controllerDescriptor, actionName);

    if (actionDescriptor != null)
    {
        FilterInfo filterInfo = GetFilters(controllerContext, actionDescriptor);

        try
        {
            AuthenticationContext authenticationContext = InvokeAuthenticationFilters(controllerContext, filterInfo.AuthenticationFilters, actionDescriptor);

            if (authenticationContext.Result != null)
            {
                // An authentication filter signaled that we should short-circuit the request. Let all
                // authentication filters contribute to an action result (to combine authentication
                // challenges). Then, run this action result.
                AuthenticationChallengeContext challengeContext = InvokeAuthenticationFiltersChallenge(
                    controllerContext, filterInfo.AuthenticationFilters, actionDescriptor,
                    authenticationContext.Result);
                InvokeActionResult(controllerContext, challengeContext.Result ?? authenticationContext.Result);
            }
            else
            {
                AuthorizationContext authorizationContext = InvokeAuthorizationFilters(controllerContext, filterInfo.AuthorizationFilters, actionDescriptor);
                if (authorizationContext.Result != null)
                {
                    // An authorization filter signaled that we should short-circuit the request. Let all
                    // authentication filters contribute to an action result (to combine authentication
                    // challenges). Then, run this action result.
                    AuthenticationChallengeContext challengeContext = InvokeAuthenticationFiltersChallenge(
                        controllerContext, filterInfo.AuthenticationFilters, actionDescriptor,
                        authorizationContext.Result);
                    InvokeActionResult(controllerContext, challengeContext.Result ?? authorizationContext.Result);
                }
                else
                {
                    if (controllerContext.Controller.ValidateRequest)
                    {
                        ValidateRequest(controllerContext);
                    }

                    IDictionary<string, object> parameters = GetParameterValues(controllerContext, actionDescriptor);
                    ActionExecutedContext postActionContext = InvokeActionMethodWithFilters(controllerContext, filterInfo.ActionFilters, actionDescriptor, parameters);

                    // The action succeeded. Let all authentication filters contribute to an action result (to
                    // combine authentication challenges; some authentication filters need to do negotiation
                    // even on a successful result). Then, run this action result.
                    AuthenticationChallengeContext challengeContext = InvokeAuthenticationFiltersChallenge(
                        controllerContext, filterInfo.AuthenticationFilters, actionDescriptor,
                        postActionContext.Result);
                    InvokeActionResultWithFilters(controllerContext, filterInfo.ResultFilters,
                        challengeContext.Result ?? postActionContext.Result);
                }
            }
        }
        catch (ThreadAbortException)
        {
            // This type of exception occurs as a result of Response.Redirect(), but we special-case so that
            // the filters don't see this as an error.
            throw;
        }
        catch (Exception ex)
        {
            // something blew up, so execute the exception filters
            ExceptionContext exceptionContext = InvokeExceptionFilters(controllerContext, filterInfo.ExceptionFilters, ex);
            if (!exceptionContext.ExceptionHandled)
            {
                throw;
            }
            InvokeActionResult(controllerContext, exceptionContext.Result);
        }

        return true;
    }

    // notify controller that no method matched
    return false;
}

至于在设置主体时不在每个请求上访问数据库,您可以使用某种服务器端缓存。

关于asp.net-mvc - 实现 MVC 5 IAuthenticationFilter,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/25641718/

25 4 0
文章推荐: wpf - 如何在用户控件中定义一个依赖属性,仅从其子控件之一中冒出一个值?
文章推荐: extjs - 如何获取 Ext.Panel 的高度以填充父区域
文章推荐: Erlang:有没有办法从我的模块中导出其他模块的导出?
文章推荐: java - Selenium:由于线程错误,无法滚动到单击不可见的元素:元素不可见
行者123
个人简介

我是一名优秀的程序员,十分优秀!

滴滴打车优惠券免费领取
滴滴打车优惠券
全站热门文章
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com