.net core下访问控制层的实现详解

对于一般的程序而言，如果在未登录的情况下理应是没有对应的权限访问对应的页面的，同时，不同的用户也需要验证该用户权限是否满足条件。

对于后端服务来说，就需要有个中间层进行拦截，验证对应的http请求是否满足权限要求。

这里我们用到了Middleware-请求管道，通过自定义中间件的方式来实现对Http请求的拦截，实现相关验证。

实现逻辑

用户在登录成功后，我们在服务端会自动生成一个Token，这个Token会绑定对应的权限，同时保存到Redis中。

我们自定义的中间层会拦截请求，获取请求中的Token是否合法，若不合法会对该请求进行拦截。

通过使用UseMiddleware扩展方法，将拦截到的HttpContext进行相应的逻辑处理。

具体代码

首先我们自定义一个权限控制的中间件,SecurityMiddleware类就是我们具体的逻辑实现。

public static IApplicationBuilder UseSecurity(this IApplicationBuilder builder)
{
    return builder.UseMiddleware<SecurityMiddleware>();
}

在Startup.cs中的Configure方法下，我们添加我们自定义的中间件：

public void Configure(IApplicationBuilder app, IHostingEnvironment env)
{
    if (env.IsDevelopment())
    {
        app.UseDeveloperExceptionPage();
    }

    app.UseSwagger();
    app.UseSwaggerUI(c => {
        c.SwaggerEndpoint("/swagger/v1/swagger.json", "我的API V1");
    });

    app.UseSecurity();//自定义中间件

    app.UseMvc();
}

接下来我们具体实现对应的SecurityMiddleware类，主要实现对应的Invoke方法

public async Task Invoke(HttpContext context)
{
    string path = context.Request.Path.ToString().ToLower();

    // 判断请求的路径是否是排除权限限制的（如登录页，登录页）
    if (excludeUrl.Contains(path))
    {
        await _next(context);
        return;
    }

    // 寻找header中的token
    string userToken = string.Empty;            
    bool hasValue = context.Request.Headers.TryGetValue(INVOKER_TOKEN_HEADER, out StringValues token);
    if (!hasValue || token.Count == 0)
    {
        // 若header没取到token，则尝试从cookie中获取
        userToken = context.Request.Cookies[USER_TOKEN_COOKIE_NAME];
        if(string.IsNullOrWhiteSpace(userToken))
        {
            // TODO: 尚未登录，未经授权
            await CreateUnauthorizedResponse(context);

            return;
        }
    }
    else
    {
        userToken = token[0];
    }

    //根据对应的Token到Redis中找对应的权限数据，若没找到，说明没有授权
    var userInfo = await GetUserInfo(userToken);
    if (userInfo == null)
    {
        // TODO: 尚未登录，未经授权
        await CreateUnauthorizedResponse(context);
        return;
    }

    //可继续针对请求判断是否有相对应的权限
}

对应构造Response方法：

private static async Task CreateUnauthorizedResponse(HttpContext context)
{
    context.Response.StatusCode = (int)HttpStatusCode.Unauthorized;
    context.Response.ContentType = "application/json;charset=utf-8";

    ResponseResult result = new ResponseResult
    {
        Result = false,
        ErrorMessage = "您需要登录后访问此资源，请先进行登录操作。",
        Code = ResponseCode.Unauthorized
    };

    await context.Response.WriteAsync(JsonConvert.SerializeObject(result), Encoding.UTF8);
}

到这里，我们基本上实现的对应的控制访问。

总结

对于本篇来说，还是需要去了解下 .net core的运行原理，以便更好的去实现你想要的方法。