1

我们使用一个IAuthorizationFilter类来过滤所有请求,并检查身份验证 cookie 中是否仍然存在自定义用户声明(多租户应用程序)。这些信息对于应用程序的其余部分是必不可少的。如果这些信息不存在,我们将重定向到登录页面。

    public class TokenAuthorizationFilter : IAuthorizationFilter, IAsyncAuthorizationFilter
    {

        public TokenAuthorizationFilter()
        {
            // Some dependency injection ...
        }

        public void OnAuthorization(Microsoft.AspNet.Mvc.Filters.AuthorizationContext context)
        {
            CheckToken(context);
        }

        public Task OnAuthorizationAsync(Microsoft.AspNet.Mvc.Filters.AuthorizationContext context)
        {
            return CheckToken(context);
        }
}

我们像这样注册我们的过滤器

    services.AddMvc(config =>
    {
        config.Filters.Add(typeof(TokenAuthorizationFilter));
    });

我想要访问的控制器的操作非常简单:

[Authorize(Policy = "TokenValid")]
public class HomeController : AjaxBaseController
{
    public IActionResult Index()
    {
        return View();
    }
}

我们甚至没有达到我们的政策AuthorizeAttribute。正如我在堆栈跟踪中看到的那样,IdentityMicrosoft.AspNet.Identity.SignInManager在检查 a 后试图在中间件的某个地方创建一个CookieAuthenticationOptions,我假设他正在尝试重新登录用户,但它没有检查我的 Filter 吗?登录在我们的应用程序中非常特殊,所以我不想让 Identity 自动登录我们的用户。当身份验证 cookie 过期时,我可以重现此问题。有任何想法吗 ?谢谢 !

4

2 回答 2

4

您还需要对授权过滤器进行TokenAuthorizationFilter继承,并将其重命名为. 这将成为您可以调用的属性:AuthorizeAttributeTokenAuthorizationFilterAttribute[TokenAuthorizationFilter]

[TokenAuthorizationFilter]
public class HomeController : AjaxBaseController
{
    public IActionResult Index()
    {
        return View();
    }
}

在实现 IAuthorizationFilter 和 IAsyncAuthorizationFilter 时要小心,因为 ASP.NET Core 在这种情况下只会调用异步方法:如果您不需要任何异步调用,则只实现 IAuthorizationFilter 接口。

此外,如果您继续像这样注册过滤器:

services.AddMvc(config =>
{
    config.Filters.Add(typeof(TokenAuthorizationFilter));
});

您会注意到每个操作都会调用过滤器,因为它会强制每次都调用授权过滤器,因此在这种情况下,您不需要在操作之上添加属性。

于 2016-07-06T15:29:14.747 回答
1

最后我发现了问题。每 30 分钟,Identity 都会尝试通过SecurityStamp验证来验证用户,这会导致应用程序崩溃,因为它需要一个在验证时不存在的数据库连接。我们通过重新实现OnValidatePrincipal

options.Cookies.ApplicationCookie.Events = new CookieAuthenticationEvents { OnValidatePrincipal = (context) => Task.FromResult(0) };
于 2016-07-07T07:09:13.317 回答