.NET Core授权失败自定义响应信息的操作方法
前言
在.net 5之前,当授权失败即403时无法很友好的自定义错误信息,以致于比如利用vue获取到的是空响应,不能很好的处理实际业务,同时涉及到权限粒度控制到控制器、action,也不能很好的获取对应路由信息。本文我们来看看在.net 5中为何要出现针对授权失败的中间件接口?它是如何一步步衍生出来的呢?以及对于授权失败根据实际需要如何自定义响应错误,以及如何获取对应路由信息等等
授权失败自定义响应信息
如下是在.net 5之前,对于授权处理,我们大多实现自定义的authorizationhandler
public class customauthorizehandler : authorizationhandler<customauthorizationrequirement> { protected override task handlerequirementasync(authorizationhandlercontext context, customauthorizationrequirement requirement) { throw new notimplementedexception(); } } public class customauthorizationrequirement : iauthorizationrequirement { public customauthorizationrequirement() { } }
但此时参数给予的是授权上下文,我们并不能拿到当前请求上下文中的相关信息,如果是在mvc中,想必大多是如下这般获取的
protected override task handlerequirementasync(authorizationhandlercontext context, customauthorizationrequirement requirement) { var context = context.resource as httpcontext; }
但对于前后分离的web api中,若我没记错的话,这样是获取到的是空,于是乎我们借助于注入上下文接口实现,演变成如下这样
public class customauthorizehandler : authorizationhandler<customauthorizationrequirement> { private readonly ihttpcontextaccessor _accessor; public customauthorizehandler(ihttpcontextaccessor accessor) { _accessor = accessor; } protected async override task handlerequirementasync(authorizationhandlercontext context, customauthorizationrequirement requirement) { var httpcontext = _accessor.httpcontext; // 授权失败响应信息 await httpcontext.response.writeasync("授权失败"); //响应失败调用 context.fail(); } }
通过上下文可以拿到比如用户声明信息等等,貌似已经基本满足我们实际业务需求,那要是我想获取路由信息又该如何呢?在3.0以下貌似只能通过path自己解析(个人猜测),从.net core 3.0+上,官方开放针对上下文的扩展方法,提供给我们获取路由节点元数据详细信息
在该终结点类存在一个元数据属性,该属性为集合,该元数据包含任何你想要的东东
这里必须强调一下,我最喜爱.net core的一点是,很多时候我们会封装类库,并在类库中使用到web api中相关的上下文一切信息等等,如果是以前.net framework怕是有点麻烦
比如如上在类库中获取上下文接口,如果你还是延续旧思想,查看vs智能提示你是否需要安装包,你会发现在web api中版本和你安装的版本是对应不上的,这可能是有问题的哈(具体细节我并未深入探究),但实际上我想安装的是.net 5
在.net core类库中要实现.net core相关基础框架信息,只需要在类库项目文件中引入支持.net core应用程序包包即可,如此才和当前应用程序版本完全一致
<itemgroup> <frameworkreference include="microsoft.aspnetcore.app" /> </itemgroup>
面向不同群体读者,这里还是重点强调下,以免有些学习.net core的童鞋走偏了!话题扯远了,比如如上述我们想要获取到元数据中的控制器和action名称,该元数据集合参数都是object,所以我们想要对应的信息,需要稍微清楚一点.net core基本流程处理所提供的各个对象
public class customauthorizehandler : authorizationhandler<customauthorizationrequirement> { private readonly ihttpcontextaccessor _accessor; public customauthorizehandler(ihttpcontextaccessor accessor) { _accessor = accessor; } protected async override task handlerequirementasync(authorizationhandlercontext context, customauthorizationrequirement requirement) { var httpcontext = _accessor.httpcontext; var endpoint = httpcontext.getendpoint(); var controlleractiondescriptor = (controlleractiondescriptor)endpoint.metadata .tolist().firstordefault(d => d is controlleractiondescriptor); var controllername = controlleractiondescriptor.controllername; var actionname = controlleractiondescriptor.actionname; } }
讲到这里,实现对应抽象授权处理对象,基本上可满足我们的需求,即使上述拿到上下文并响应,但是在接口响应上我们是获取不到的,因为授权上下文,只提供fail和succeed方法,要是我们想根据业务失败后直接响应呢?所以最大的问题出在:我们无法完全控制响应,以及自定义响应。这个时候,经过开发者在github上激烈的反馈,官方在.net 5给出了,针对授权处理的中间件接口,上下文也已直接对外暴露
public class customauthorizationmiddlewareresulthandler : iauthorizationmiddlewareresulthandler { public async task handleasync(requestdelegate next, httpcontext context, authorizationpolicy policy, policyauthorizationresult authorizeresult) { var endpoint = context.getendpoint(); var controlleractiondescriptor = (controlleractiondescriptor)endpoint.metadata .tolist().firstordefault(d => d is controlleractiondescriptor); var controllername = controlleractiondescriptor.controllername; var actionname = controlleractiondescriptor.actionname; if (!context.user.identity.isauthenticated) { context.response.statuscode = (int)httpstatuscode.unauthorized; await context.response.writeasync("{\"data\":{\"succeeded\":false,\"code\":401,\"message\":\"登录已过期,请重新登录\"}}"); return; } else if (!await handlerequirementevaluateasync(context.user, controllername, actionname)) { context.response.statuscode = (int)httpstatuscode.forbidden; await context.response.writeasync("{\"data\":{\"succeeded\":false,\"code\":403,\"message\":\"您暂无足够的权限执行该操作\"}}"); return; } await next(context); } }
自从.net 5有了iauthorizationmiddlewareresulthandler授权中间件接口,一切又是那么得心应手!
到此这篇关于.net core授权失败如何自定义响应信息的文章就介绍到这了,更多相关.net core自定义响应信息内容请搜索以前的文章或继续浏览下面的相关文章希望大家以后多多支持!
上一篇: 为什么罚款降低了
推荐阅读
-
.NET Core授权失败自定义响应信息的操作方法
-
ASP.NET Core 使用 JWT 自定义角色/策略授权需要实现的接口
-
ASP.NET Core MVC 授权的扩展:自定义 Authorize Attribute 和 IApplicationModelProvide
-
ASP.NET Core使用JWT自定义角色并实现策略授权需要的接口
-
.NET Core授权失败自定义响应信息的操作方法
-
ASP.NET Core 使用 JWT 自定义角色/策略授权需要实现的接口
-
ASP.NET Core MVC 授权的扩展:自定义 Authorize Attribute 和 IApplicationModelProvide
-
ASP.NET Core使用JWT自定义角色并实现策略授权需要的接口