.net Core如何对静态文件的访问进行鉴权操作?

之前给公司开发了一个文件管理服务,最基本的功能就是文件的上传下载,以及更新删除、预览;负责公司各个子系统的相关附件的管理,所有的接口都通过AOP来进行身份拦截认证了,但是在进行预览的时候,因为采用的是生成一个全新的预览文件,然后直接返回预览文件的Url通过浏览器查看的这种模式,于是需要系统开放静态文件的预览功能,这个很简单:

 app.UseStaticFiles(new StaticFileOptions()
            {
                ContentTypeProvider = provider,
                OnPrepareResponse = ctx =>
                {
                    ctx.Context.Response.Headers.Append("Cache-Control", "public,max-age=600");
                }
            });
            app.UseFileServer(new FileServerOptions()
            {
                FileProvider = new PhysicalFileProvider
                (
                    Path.Combine(Directory.GetCurrentDirectory(),"wwwroot","FileFactory")),   //实际目录地址
                    RequestPath = new Microsoft.AspNetCore.Http.PathString("/文件中心"),  //用户访问地址
                    EnableDirectoryBrowsing = true                                     //开启目录浏览
            });

在startup的Configure方法内加入上述代码即可完成这个操作。

然后如果仅仅是这样的话,不管那个用户,只要知道了这个链接,其实就相当于获得了整个文件服务系统的文件查看权限了,这肯定是违背数据安全性原则的,所以需要有一个中间件来对用户的静态文件访问权限进行过滤。

中间件的代码很简单

 public class AuthorizeStaticFilesMiddleware
    {
        private readonly RequestDelegate _next;

        public AuthorizeStaticFilesMiddleware(RequestDelegate next)
        {
            _next = next;
        }

        public async Task Invoke(HttpContext context)
        {
            if (new IdentityCheck().IdentityCheckMethod(context))
                await _next(context);
            else
                await context.Response.WriteAsync("您无权查看该文件",Encoding.UTF8);
        }
    }

这里的判断自己去实现,一般实现单点登录的都是通过token,可以通过token的相关安全性判断权限的合理性。

直接在startup的Configure方法里面使用中间件即可:

            app.UseWhen(
                c => c.Request.Path.Value.Contains("文件中心"),
                _ => _.UseMiddleware());

至此,则完成了对静态文件的数据验证功能。

 

ps:当然这里是有一些问题的,比如某个本来不需要加验证的api也包含拦截关键字,那么会被直接拒掉,这种情况应该和后端开发协调,尽量避免使用这种Api。

你可能感兴趣的:(.net Core如何对静态文件的访问进行鉴权操作?)