除了在执行动作之前运行OnAuthentication以及在执行动作之后但处理动作结果之前运行OnAuthenticationChallenge之外,我不了解OnAuthentication和OnAuthenticationChallenge的目的/区别。
似乎其中任何一个(OnAuthentication或OnAuthenticationChallenge)都可以完成身份验证所需的所有工作。为什么需要2种方法?
我的理解是,OnAuthentication是我们放置验证逻辑(或者该逻辑应在实际操作方法中?),连接到数据存储并检查用户帐户的地方。如果未通过身份验证,则OnAuthenticationChallenge是我们重定向到登录页面的地方。这样对吗?为什么我不能只重定向OnAuthentication而不实现OnAuthenticationChallenge。我知道我缺少一些东西;有人可以向我解释吗?
另外,存储经过身份验证的用户的最佳实践是什么,以便以后的请求不必连接到db再次检查用户?
请记住,我是ASP.NET MVC的新手。
最佳答案
这些方法实际上是针对不同目的的:IAuthenticationFilter.OnAuthentication应该用于设置主体,主体是标识用户的对象。
您还可以使用HttpUnauthorisedResult这样的方法设置结果(这样可以避免执行其他授权过滤器)。尽管这是可行的,但我喜欢不同过滤器之间的关注点分离。IAuthenticationFilter.OnAuthenticationChallenge用于在结果返回给用户之前向结果添加“挑战”。
这总是在将结果返回给用户之前立即执行,这意味着它可能在管道中不同位置的不同点上执行。请参阅下面的ControllerActionInvoker.InvokeAction解释。
将此方法用于“授权”目的(例如检查用户是否已登录或以某个角色)可能不是一个好主意,因为它可能在控制器操作代码之后执行,因此您可能在此之前已更改了数据库中的某些内容。被执行!
想法是,此方法可用于贡献结果,而不是执行关键授权检查。例如,您可以使用它根据某种逻辑将HttpUnauthorisedResult转换为重定向到其他登录页面的重定向。或者,您可以保留一些用户更改,将其重定向到另一个页面,您可以在其中请求其他确认/信息,并根据答案最终提交或放弃这些更改。
IAuthorizationFilter.OnAuthorization仍应用于执行身份验证检查,例如检查用户是否已登录或属于某个角色。
如果检查ControllerActionInvoker.InvokeAction的源代码,则可能会更好。执行动作时将发生以下情况:
每个身份验证过滤器都会调用IAuthenticationFilter.OnAuthentication。如果在AuthenticationContext中更新了主体,则context.HttpContext.User和Thread.CurrentPrincipal都将更新。
如果任何身份验证过滤器设置了结果(例如,设置404结果),则将为每个身份验证过滤器调用OnAuthenticationChallenge,这将允许在返回之前更改结果。 (例如,您可以将其转换为登录的重定向)。挑战之后,不进行步骤3就返回结果。
如果没有一个认证过滤器设置结果,则对于每个IAuthorizationFilter,都将执行其OnAuthorization方法。
与步骤2一样,如果任何授权过滤器设置了结果(例如,设置404结果),则将为每个身份验证过滤器调用OnAuthenticationChallenge。挑战之后,不进行步骤3就返回结果。
如果没有一个授权过滤器设置结果,那么它将继续执行操作(考虑到请求验证和任何操作过滤器)
在执行操作之后并返回结果之前,每个身份验证筛选器都会调用OnAuthenticationChallenge
我已经在这里复制了ControllerActionInvoker.InvokeAction的当前代码作为参考,但是您可以使用上面的链接查看最新版本:
public virtual bool InvokeAction(ControllerContext controllerContext, string actionName)
{
if (controllerContext == null)
{
throw new ArgumentNullException("controllerContext");
}
Contract.Assert(controllerContext.RouteData != null);
if (String.IsNullOrEmpty(actionName) && !controllerContext.RouteData.HasDirectRouteMatch())
{
throw new ArgumentException(MvcResources.Common_NullOrEmpty, "actionName");
}
ControllerDescriptor controllerDescriptor = GetControllerDescriptor(controllerContext);
ActionDescriptor actionDescriptor = FindAction(controllerContext, controllerDescriptor, actionName);
if (actionDescriptor != null)
{
FilterInfo filterInfo = GetFilters(controllerContext, actionDescriptor);
try
{
AuthenticationContext authenticationContext = InvokeAuthenticationFilters(controllerContext, filterInfo.AuthenticationFilters, actionDescriptor);
if (authenticationContext.Result != null)
{
// An authentication filter signaled that we should short-circuit the request. Let all
// authentication filters contribute to an action result (to combine authentication
// challenges). Then, run this action result.
AuthenticationChallengeContext challengeContext = InvokeAuthenticationFiltersChallenge(
controllerContext, filterInfo.AuthenticationFilters, actionDescriptor,
authenticationContext.Result);
InvokeActionResult(controllerContext, challengeContext.Result ?? authenticationContext.Result);
}
else
{
AuthorizationContext authorizationContext = InvokeAuthorizationFilters(controllerContext, filterInfo.AuthorizationFilters, actionDescriptor);
if (authorizationContext.Result != null)
{
// An authorization filter signaled that we should short-circuit the request. Let all
// authentication filters contribute to an action result (to combine authentication
// challenges). Then, run this action result.
AuthenticationChallengeContext challengeContext = InvokeAuthenticationFiltersChallenge(
controllerContext, filterInfo.AuthenticationFilters, actionDescriptor,
authorizationContext.Result);
InvokeActionResult(controllerContext, challengeContext.Result ?? authorizationContext.Result);
}
else
{
if (controllerContext.Controller.ValidateRequest)
{
ValidateRequest(controllerContext);
}
IDictionary<string, object> parameters = GetParameterValues(controllerContext, actionDescriptor);
ActionExecutedContext postActionContext = InvokeActionMethodWithFilters(controllerContext, filterInfo.ActionFilters, actionDescriptor, parameters);
// The action succeeded. Let all authentication filters contribute to an action result (to
// combine authentication challenges; some authentication filters need to do negotiation
// even on a successful result). Then, run this action result.
AuthenticationChallengeContext challengeContext = InvokeAuthenticationFiltersChallenge(
controllerContext, filterInfo.AuthenticationFilters, actionDescriptor,
postActionContext.Result);
InvokeActionResultWithFilters(controllerContext, filterInfo.ResultFilters,
challengeContext.Result ?? postActionContext.Result);
}
}
}
catch (ThreadAbortException)
{
// This type of exception occurs as a result of Response.Redirect(), but we special-case so that
// the filters don't see this as an error.
throw;
}
catch (Exception ex)
{
// something blew up, so execute the exception filters
ExceptionContext exceptionContext = InvokeExceptionFilters(controllerContext, filterInfo.ExceptionFilters, ex);
if (!exceptionContext.ExceptionHandled)
{
throw;
}
InvokeActionResult(controllerContext, exceptionContext.Result);
}
return true;
}
// notify controller that no method matched
return false;
}
至于在设置主体时没有在每个请求上都访问数据库,则可以使用某种服务器端缓存。
关于asp.net-mvc - 实现MVC 5 IAuthenticationFilter,我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/25641718/