- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
除了 OnAuthentication 在操作执行之前运行和 OnAuthenticationChallenge 在操作执行之后但在处理操作结果之前运行之外,我不明白 OnAuthentication 和 OnAuthenticationChallenge 的目的/区别。
似乎其中任何一个(OnAuthentication 或 OnAuthenticationChallenge)都可以完成身份验证所需的所有操作。为什么需要两种方法?
我的理解是 OnAuthentication 是我们放置身份验证逻辑的地方(或者这个逻辑应该在实际操作方法中?)、连接到数据存储并检查用户帐户。 OnAuthenticationChallenge 是我们在未通过身份验证时重定向到登录页面的地方。它是否正确?为什么我不能只在 OnAuthentication 上重定向而不实现 OnAuthenticationChallenge。我知道我缺少一些东西;有人可以向我解释一下吗?
此外,存储经过身份验证的用户的最佳实践是什么,以便后续请求不必连接到数据库来再次检查用户?
请记住,我是 ASP.NET MVC 的新手。
最佳答案
这些方法实际上有不同的目的:
IAuthenticationFilter.OnAuthentication
应用于设置主体,主体是标识用户的对象。您还可以在此方法中设置一个结果,例如 HttpUnauthorizedResult
(这将使您免于执行额外的授权过滤器)。虽然这是可能的,但我喜欢不同过滤器之间的关注点分离。
IAuthenticationFilter.OnAuthenticationChallenge
用于在结果返回给用户之前向结果添加“挑战”。
这始终在结果返回给用户之前执行,这意味着它可能在管道的不同点针对不同的请求执行。请参阅下面的ControllerActionInvoker.InvokeAction
的解释。
将此方法用于“授权”目的(例如检查用户是否登录或处于某个角色)可能是一个坏主意,因为它可能会在 Controller 操作代码之后执行,因此您可能已更改在执行之前数据库中的某些内容!
其想法是,此方法可用于贡献结果,而不是执行关键的授权检查。例如,您可以使用它将 HttpUnauthorizedResult
转换为基于某些逻辑的到不同登录页面的重定向。或者您可以保留一些用户更改,将他重定向到另一个页面,您可以在其中请求其他确认/信息,并根据答案最终提交或放弃这些更改。
IAuthorizationFilter.OnAuthorization 仍应用于执行身份验证检查,例如检查用户是否已登录或属于某个角色。
如果你检查 ControllerActionInvoker.InvokeAction
的源代码,你会得到更好的想法。 。执行操作时会发生以下情况:
IAuthenticationFilter.OnAuthentication
。如果主体在 AuthenticationContext 中更新,则 context.HttpContext.User
和 Thread.CurrentPrincipal
都会更新。
如果任何身份验证过滤器设置了结果,例如设置 404 结果,则为每个身份验证过滤器调用 OnAuthenticationChallenge
,这将允许在返回结果之前更改结果。 (例如,您可以将其转换为登录重定向)。挑战结束后,返回结果,不继续执行步骤 3。
如果没有任何身份验证过滤器设置结果,则对于每个 IAuthorizationFilter
都会执行其 OnAuthorization
方法。
与步骤 2 中一样,如果任何授权过滤器设置了结果,例如设置 404 结果,则为每个身份验证过滤器调用 OnAuthenticationChallenge
。挑战结束后,返回结果,不继续执行步骤 3。
如果没有一个授权过滤器设置结果,那么它将继续执行操作(考虑请求验证和任何操作过滤器)
执行操作后、返回结果之前,为每个身份验证过滤器调用 OnAuthenticationChallenge
我已将 ControllerActionInvoker.InvokeAction
的当前代码复制到此处作为引用,但您可以使用上面的链接查看最新版本:
public virtual bool InvokeAction(ControllerContext controllerContext, string actionName)
{
if (controllerContext == null)
{
throw new ArgumentNullException("controllerContext");
}
Contract.Assert(controllerContext.RouteData != null);
if (String.IsNullOrEmpty(actionName) && !controllerContext.RouteData.HasDirectRouteMatch())
{
throw new ArgumentException(MvcResources.Common_NullOrEmpty, "actionName");
}
ControllerDescriptor controllerDescriptor = GetControllerDescriptor(controllerContext);
ActionDescriptor actionDescriptor = FindAction(controllerContext, controllerDescriptor, actionName);
if (actionDescriptor != null)
{
FilterInfo filterInfo = GetFilters(controllerContext, actionDescriptor);
try
{
AuthenticationContext authenticationContext = InvokeAuthenticationFilters(controllerContext, filterInfo.AuthenticationFilters, actionDescriptor);
if (authenticationContext.Result != null)
{
// An authentication filter signaled that we should short-circuit the request. Let all
// authentication filters contribute to an action result (to combine authentication
// challenges). Then, run this action result.
AuthenticationChallengeContext challengeContext = InvokeAuthenticationFiltersChallenge(
controllerContext, filterInfo.AuthenticationFilters, actionDescriptor,
authenticationContext.Result);
InvokeActionResult(controllerContext, challengeContext.Result ?? authenticationContext.Result);
}
else
{
AuthorizationContext authorizationContext = InvokeAuthorizationFilters(controllerContext, filterInfo.AuthorizationFilters, actionDescriptor);
if (authorizationContext.Result != null)
{
// An authorization filter signaled that we should short-circuit the request. Let all
// authentication filters contribute to an action result (to combine authentication
// challenges). Then, run this action result.
AuthenticationChallengeContext challengeContext = InvokeAuthenticationFiltersChallenge(
controllerContext, filterInfo.AuthenticationFilters, actionDescriptor,
authorizationContext.Result);
InvokeActionResult(controllerContext, challengeContext.Result ?? authorizationContext.Result);
}
else
{
if (controllerContext.Controller.ValidateRequest)
{
ValidateRequest(controllerContext);
}
IDictionary<string, object> parameters = GetParameterValues(controllerContext, actionDescriptor);
ActionExecutedContext postActionContext = InvokeActionMethodWithFilters(controllerContext, filterInfo.ActionFilters, actionDescriptor, parameters);
// The action succeeded. Let all authentication filters contribute to an action result (to
// combine authentication challenges; some authentication filters need to do negotiation
// even on a successful result). Then, run this action result.
AuthenticationChallengeContext challengeContext = InvokeAuthenticationFiltersChallenge(
controllerContext, filterInfo.AuthenticationFilters, actionDescriptor,
postActionContext.Result);
InvokeActionResultWithFilters(controllerContext, filterInfo.ResultFilters,
challengeContext.Result ?? postActionContext.Result);
}
}
}
catch (ThreadAbortException)
{
// This type of exception occurs as a result of Response.Redirect(), but we special-case so that
// the filters don't see this as an error.
throw;
}
catch (Exception ex)
{
// something blew up, so execute the exception filters
ExceptionContext exceptionContext = InvokeExceptionFilters(controllerContext, filterInfo.ExceptionFilters, ex);
if (!exceptionContext.ExceptionHandled)
{
throw;
}
InvokeActionResult(controllerContext, exceptionContext.Result);
}
return true;
}
// notify controller that no method matched
return false;
}
至于在设置主体时不在每个请求上访问数据库,您可以使用某种服务器端缓存。
关于asp.net-mvc - 实现 MVC 5 IAuthenticationFilter,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/25641718/
我有一个自定义 IAuthenticationFilter在 RegisterGlobalFilters() 中注册的实现.在我的项目中,我目睹了以下调用序列: IAuthenticationFilt
关闭。这个问题是opinion-based .它目前不接受答案。 想要改进这个问题? 更新问题,以便 editing this post 可以用事实和引用来回答它. 关闭 5 年前。 Improve
我有一个 Web API 2 项目,它正在实现如下所示的自定义 IAuthenticationFilter。 我的问题是 UnitOfWork 不是由 Unity 在 BasicAuthenticat
我正在尝试对我为 WebApi 2 项目编写的基本身份验证过滤器进行单元测试,但我无法模拟 OnAuthentication 调用中所需的 HttpAuthenticationContext 对象。
在 ASP.Net Web API 2 (Owin) 中,IAuthenticationFilter 和 AuthorizeAttribute 有什么区别? 目前我已经通过创建自己的 Authoriz
背景: 我想使用通过 Ninject 注入(inject)的 IAuthenticationFilter 实现来验证对我的 Web API 的 POST 请求。要验证请求,我需要访问请求正文。 问题:
我有一个类库,并且添加了对 System.Web.Mvc v4.00 的引用,但由于某种原因,Filters 命名空间不可用。我正在尝试创建一个自定义 Controller ,并且我已经使用 ILSp
除了 OnAuthentication 在操作执行之前运行和 OnAuthenticationChallenge 在操作执行之后但在处理操作结果之前运行之外,我不明白 OnAuthentication
当我创建一个新的 asp.net mvc 4.0 应用程序时,我做的第一件事 就是创建并设置自定义授权全局过滤器,如下所示: //FilterConfig.cs public static void
我正在使用 MVC5 的 IAuthenticationFilter 接口(interface)实现基本身份验证。我的理解是现在这是首选方法,而不是使用 DelegatingHandler。我已经开始
我想使用 AllowAnonymous 和自定义 AuthenticationFilter。有人可以指出我使用 AllowAnonymous 或其他替代方法的正确方向吗?谢谢 我创建了自己的自定义过滤
.NET 4.5、MVC 5:ClaimsAuthenticationManager、IAuthenticationFilter、OWIN Forms Authentication 和 ClaimsP
我正在将 Web Api 2 项目移动到 MVC 6,因为 Microsoft 正在合并 ASP.NET 5 中的两个 API。在我的 WebApi 项目中,我有一个自定义属性过滤器类,它将使用以下组
我需要在 WebAPI 管道的身份验证步骤中读取/写入 cookie。我为此创建了一个自定义过滤器。 为了遵守自托管概念,访问 cookie 并将其写入客户端的安全方式是什么? Rick Strahl
使用 Web Api 2.2,我有一个自定义的 IAuthenticationFilter,我用它来使用自定义方案对客户端请求进行身份验证。 基本上,当客户端未通过身份验证并想要访问 protecte
我是一名优秀的程序员,十分优秀!