之前给公司开发了一个文件管理服务,最基本的功能就是文件的上传下载,以及更新删除、预览;负责公司各个子系统的相关附件的管理,所有的接口都通过AOP来进行身份拦截认证了,但是在进行预览的时候,因为采用的是生成一个全新的预览文件,然后直接返回预览文件的Url通过浏览器查看的这种模式,于是需要系统开放静态文件的预览功能,这个很简单:
app.UseStaticFiles(new StaticFileOptions() { ContentTypeProvider = provider, OnPrepareResponse = ctx => { ctx.Context.Response.Headers.Append("Cache-Control", "public,max-age=600"); } }); app.UseFileServer(new FileServerOptions() { FileProvider = new PhysicalFileProvider ( Path.Combine(Directory.GetCurrentDirectory(),"wwwroot","FileFactory")), //实际目录地址 RequestPath = new Microsoft.AspNetCore.Http.PathString("/文件中心"), //用户访问地址 EnableDirectoryBrowsing = true //开启目录浏览 });
在startup的Configure方法内加入上述代码即可完成这个操作。
然后如果仅仅是这样的话,不管那个用户,只要知道了这个链接,其实就相当于获得了整个文件服务系统的文件查看权限了,这肯定是违背数据安全性原则的,所以需要有一个中间件来对用户的静态文件访问权限进行过滤。
中间件的代码很简单
public class AuthorizeStaticFilesMiddleware { private readonly RequestDelegate _next; public AuthorizeStaticFilesMiddleware(RequestDelegate next) { _next = next; } public async Task Invoke(HttpContext context) { if (new IdentityCheck().IdentityCheckMethod(context)) await _next(context); else await context.Response.WriteAsync("您无权查看该文件",Encoding.UTF8); } }
这里的判断自己去实现,一般实现单点登录的都是通过token,可以通过token的相关安全性判断权限的合理性。
直接在startup的Configure方法里面使用中间件即可:
app.UseWhen( c => c.Request.Path.Value.Contains("文件中心"), _ => _.UseMiddleware());
至此,则完成了对静态文件的数据验证功能。
ps:当然这里是有一些问题的,比如某个本来不需要加验证的api也包含拦截关键字,那么会被直接拒掉,这种情况应该和后端开发协调,尽量避免使用这种Api。