首页 > 编程语言 >Asp-Net-Core开发笔记:使用ActionFilterAttribute实现非侵入式的参数校验

Asp-Net-Core开发笔记:使用ActionFilterAttribute实现非侵入式的参数校验

时间:2024-05-21 16:56:37浏览次数:28  
标签:Core Asp ClientIdSource client Client 参数 ActionFilterAttribute HttpContext publi

前言#

在现代应用开发中,确保API的安全性和可靠性至关重要。

面向切面编程(AOP)通过将横切关注点(如验证、日志记录、异常处理)与核心业务逻辑分离,极大地提升了代码的模块化和可维护性。

在ASP.NET Core中,利用ActionFilterAttribute可以方便地实现AOP的理念,能够以简洁、高效的方式进行自定义验证。

本文将分享如何通过创建ValidateClientAttribute来验证客户端ID,并探讨这种方法如何体现AOP的诸多优势。

使用场景#

本文使用场景是在我之前开发的单点认证项目中,当时的项目名称是 IdentityServerLite ,作为参考 IdentityServer4 设计的一个轻量级单点认证解决方案,不过我做得还不是很完善,而且属于是边学习 OAuth2.0 和 OpenID Connect 边做的,代码比较乱,关于这个单点认证项目,我后续可能会写一篇文章单独介绍,并且目前有一个重构后开源的计划。

在单点认证项目中,像登录、获取 AccessToken 、请求 Token 等操作都需要验证用户传入的 Client ID 参数是否有效,这部分逻辑是有些重复的,于是我就像使用一种更高效的方式来实现这个功能。

正好上次使用 AOP 的思想来实现非侵入性的审计日志功能,这次同样利用这种思想来实现这个校验功能。

ActionFilterAttribute#

我发现之前那俩篇关于审计日志的实现文章没有怎么介绍这个东西

回顾一下:

现在再赘述一下~

ActionFilterAttribute 是 ASP.NET Core 提供的一个方便工具,用于在控制器的操作方法执行之前或之后添加自定义逻辑。这种机制使得我们可以在不改变操作方法本身的情况下,插入额外的处理逻辑,如验证、日志记录、异常处理等。这种特性体现了面向切面编程(AOP)的理念,能够有效地分离关注点,提高代码的模块化和可维护性。

通过继承 ActionFilterAttribute,可以重写 OnActionExecutingOnActionExecuted 方法,分别在操作方法执行前后执行自定义逻辑。例如,验证输入参数的有效性、记录请求的执行时间、处理异常等。

理清思路#

要实现的功能#

  • 根据配置,校验传入的 Client ID 参数是否有效(参数名和参数所在位置都不确定,需要配置)
  • 校验不通过的话返回错误信息
  • 校验通过的话,接口里需要能访问到对应的 Client 对象

如何实现?#

首先是确定了这个功能是使用 Attribute 的形式来添加到接口的外边,然后覆盖 ActionFilterAttributeOnActionExecutionAsync方法来实现具体的校验逻辑。

之后还需要把从数据库里查找到的 Client 对象保存到 HttpContext 里,方便接口中使用这个对象。

HttpContext 是 ASP.NET Core 中用于封装 HTTP 请求和响应的对象。它提供了一种访问 HTTP 特定信息的统一方式,包括请求的详细信息、响应的内容、用户信息、会话数据、请求头和响应头等。每次 HTTP 请求对应一个 HttpContext 实例,该实例贯穿请求处理的整个生命周期。

这里我们利用 HttpContext 提供的 Items 这个键值对集合(用于在请求的不同中间件和组件之间共享数据)来共享 Client 对象。

var client = HttpContext.Items["client"] as Client;

开始写代码#

ClientIdSource Enum#

Client ID 所在的位置不确定,需要在使用的时候配置

定义一个枚举

public enum ClientIdSource {
  Query,
  Body,
  Route,
  Header
}

ValidateClientAttribute 实现#

Filters 目录中创建 ValidateClientAttribute.cs 文件

根据配置,从指定的位置根据指定的参数名称读取 Client ID ,然后在数据库中查询。

public class ValidateClientAttribute(
  ClientIdSource source = ClientIdSource.Query
) : ActionFilterAttribute {
  /// <summary>
  /// 客户端ID的参数名称,注意是 DTO 里的属性名称,不是请求体JSON的字段名
  /// </summary>
  public string ParameterName { get; set; } = "client_id";

  /// <summary>
  /// 设置验证成功之后,存储在 `HttpContext.Items` 对象中的 `Client` 对象的 key
  /// </summary>
  public string ClientItemKey { get; set; } = "client";

  public override async Task OnActionExecutionAsync(ActionExecutingContext context, ActionExecutionDelegate next) {
    var clientId = "";

    switch (source) {
      case ClientIdSource.Query:
        clientId = context.HttpContext.Request.Query[ParameterName];
        break;
      case ClientIdSource.Body:
        // 使用反射从请求体中读取 client_id
        // 这里读取到的 body 是 Controller 下 Action 方法的第一个参数,通常是请求体中的 JSON 数据模型绑定转换为对应 DTO 实例
        var body = context.ActionArguments.Values.FirstOrDefault();
        if (body != null) {
          var clientProp = body.GetType().GetProperty(ParameterName);
          if (clientProp != null) {
            clientId = clientProp.GetValue(body) as string;
          }
        }
        break;
      case ClientIdSource.Route:
        clientId = context.RouteData.Values[ParameterName] as string;
        break;
      case ClientIdSource.Header:
        clientId = context.HttpContext.Request.Headers[ParameterName];
        break;
    }

    if (string.IsNullOrWhiteSpace(clientId)) {
      throw new ArgumentNullException(ParameterName);
    }

    var clientRepo = context.HttpContext.RequestServices.GetRequiredService<IBaseRepository<Client>>();
    var client = await clientRepo.Select.Where(a => a.ClientId == clientId).FirstAsync();

    if (client != null) {
      context.HttpContext.Items["client"] = client;
      await next();
    }
    else {
      context.Result = new NotFoundObjectResult(
        new ApiResponse { Message = $"client with id {clientId} not found" });
    }
  }
}

有几点需要注意的,下面介绍一下

通过反射获取 request body 的参数#

其他几个参数位置还好,获取都比较容易

如果是 POST 或者 PUT 方法,一般都是把数据以 JSON 的形式放在 Request Body 里

这个时候,我们可以去读取这个 Body 的值,但读取完之后得自己解析 JSON,还得把 Stream 写回去,有点麻烦。而且如果 Body 是 XML 形式,还要用其他的解析方式。

这里我使用了反射的方式,让 AspNetCore 框架去处理这个 Request Body ,然后我直接用反射,根据参数名去读取 Client ID

使用#

这是几个使用例子

参数在 Body 里#

然后 DTO 里的参数名是 ClientId

public class PwdLoginDto : LoginDto {
  [Required]
  [JsonPropertyName("username")]
  public string Username { get; set; }

  [Required]
  [JsonPropertyName("password")]
  public string Password { get; set; }
}

在接口中使用

[HttpPost("login/password")]
[ValidateClient(ClientIdSource.Body, ParameterName = "ClientId")]
public async Task<IActionResult> LoginByPassword(PwdLoginDto dto) {

}

参数在 Query Params 里#

参数名称是 client_id

[HttpGet("authorize/url")]
[ValidateClient(ClientIdSource.Query, ParameterName = "client_id")]
public ApiResponse<string> GetAuthorizeUrl([FromQuery] AuthorizeInput input) {
  return new ApiResponse<string>(GenerateAuthorizeUrl(input));
}

参考资料#

 

2024-05-21 16:54:39【出处】:https://www.cnblogs.com/deali/p/18198867

=======================================================================================

标签:Core,Asp,ClientIdSource,client,Client,参数,ActionFilterAttribute,HttpContext,publi
From: https://www.cnblogs.com/mq0036/p/18204473

相关文章

  • Sitecore 设置 SelectItems 最大长度问题
    添加一个configpatch文件即可,然后放在App_Config下,内容如下:sitecore默认value是100。<?xmlversion="1.0"encoding="utf-8"?><configurationxmlns:patch="http://www.sitecore.net/xmlconfig/"xmlns:role="http://www.sitecore.n......
  • YiShaAdmin:一款基于.NET Core Web + Bootstrap的企业级快速开发框架
    前言今天大姚给大家分享一款基于.NETCoreWeb+Bootstrap的企业级快速后台开发框架、权限管理系统,代码简单易懂、界面简洁美观(基于MITLicense开源,免费可商用):YiShaAdmin。项目官方介绍YiShaAdmin基于.NETCoreWeb开发,借鉴了很多开源项目的优点,让你开发Web管理系统和移动端A......
  • .net8 winform程序使用EntityFrameworkCore连接数据库
    在.NET8WinForms应用程序中使用EntityFramework(EF)Core,你需要按照以下步骤操作:1.添加EntityFrameworkCoreNuGet包。2.定义你的数据模型。3.创建数据库上下文(DbContext)。4.在数据库上下文中配置EntityFramework。5.使用EntityFrameworkCore的API来执行数据库操作。......
  • C# webform 在aspx页面调用aspx.cs页面的方法
    前台代码--调用后台的GetEcharts1方法,并传入三个参数startDateValue,ipEndDate,ddlTypeValue<inputtype="button"id="loadExce2l"value="查看"onclick="loadEcharts()"/>functionloadEcharts(){console.log(19999999999)......
  • Liunx部署NetCore,接口获取mysql本地数据时报:The SSL connection could not be establ
    今天将 NETCore程序发布到一台新的服务器,程序中有https请求第三方的Api,但是报了如下的错误:TheSSLconnectioncouldnotbeestablished,seeinnerexception解决办法下面命令查询openssl的路径opensslversion-a然后将CentOS默认的opensslCA证书拷贝到OPENSSLD......
  • netcore6 发布到linux centos7 踩坑记录
    具体dotnet6部署的过程,用守护进程。参考:https://blog.csdn.net/qq_45602658/article/details/129299814还有解决出现dotnet:/lib64/libstdc++.so.6:versionGLIBCXX_3.4.21&#x27;notfound(requiredbydotnet)dotnet:/lib64/libstdc++.so.6:未找到版本GLIBCXX_3.4.21(dot......
  • VUE,HbuilderX开发H5页面,配置调试,部署以及JWT,Token。调用本机netcore接口
    花了一周时间,测试了各种方式。对于VUE开发H5页面,然后部署到Nginx服务。再调用本地的HTTPS接口。1、本地开发及使用IE或Chrome进行开发调试,并调用本地接口同步开发。本地Netcore,开发按原有方式进行。Hbuilderx,开发并调用本地接口。设置时,不要使用Https进行。直接用http即可。Hbuild......
  • Liunx下通过netcore接口生成前端图片的问题。
    用netcore来生成前端微信Native支付的二维码。1、首先CentOS7.0要安装libgdiplus,命令如下:yuminstalllibgdiplus-devel,然后重启netcore服务。//这个地方要注意,网上有不少例子的下载命令是错的,有的时候安装不上。2、Vs代码使用QRCoder库,代码如下publicstaticMemoryStream......
  • django rest django.core.exceptions.ImproperlyConfigured: Could not resolve URL f
    使用:HyperlinkedRelatedField报错信息django.core.exceptions.ImproperlyConfigured:CouldnotresolveURLforhyperlinkedrelationshipusingviewname"fk_table:album_list".YoumayhavefailedtoincludetherelatedmodelinyourAPI,orincorrectly......
  • .net6中使用EF core多个上下文迁移方式
    正常上下文在复制一个一模一样的上下文appsettings.json添加两个数据库连接字符串 Program.cs里边一样添加两个 控制台迁移命令必须加上-Context后边跟的是我们上下文的名称Add-MigrationMyMigration-ContextMYDBContext222保存到数据库命令一样Update-Data......