在现代应用开发中,确保API的安全性和可靠性至关重要。
面向切面编程(AOP)通过将横切关注点(如验证、日志记录、异常处理)与核心业务逻辑分离,极大地提升了代码的模块化和可维护性。
在ASP.NET Core中,利用ActionFilterAttribute可以方便地实现AOP的理念,能够以简洁、高效的方式进行自定义验证。
本文将分享如何通过创建ValidateClientAttribute来验证客户端ID,并探讨这种方法如何体现AOP的诸多优势。
本文使用场景是在我之前开发的单点认证项目中,当时的项目名称是 IdentityServerLite ,作为参考 IdentityServer4 设计的一个轻量级单点认证解决方案,不过我做得还不是很完善,而且属于是边学习 OAuth2.0 和 OpenID Connect 边做的,代码比较乱,关于这个单点认证项目,我后续可能会写一篇文章单独介绍,并且目前有一个重构后开源的计划。
在单点认证项目中,像登录、获取 AccessToken 、请求 Token 等操作都需要验证用户传入的 Client ID 参数是否有效,这部分逻辑是有些重复的,于是我就像使用一种更高效的方式来实现这个功能。
正好上次使用 AOP 的思想来实现非侵入性的审计日志功能,这次同样利用这种思想来实现这个校验功能。
我发现之前那俩篇关于审计日志的实现文章没有怎么介绍这个东西
回顾一下:
现在再赘述一下~
ActionFilterAttribute 是 ASP.NET Core 提供的一个方便工具,用于在控制器的操作方法执行之前或之后添加自定义逻辑。这种机制使得我们可以在不改变操作方法本身的情况下,插入额外的处理逻辑,如验证、日志记录、异常处理等。这种特性体现了面向切面编程(AOP)的理念,能够有效地分离关注点,提高代码的模块化和可维护性。
通过继承 ActionFilterAttribute,可以重写 OnActionExecuting 和 OnActionExecuted 方法,分别在操作方法执行前后执行自定义逻辑。例如,验证输入参数的有效性、记录请求的执行时间、处理异常等。
首先是确定了这个功能是使用 Attribute 的形式来添加到接口的外边,然后覆盖 ActionFilterAttribute 的 OnActionExecutionAsync方法来实现具体的校验逻辑。
之后还需要把从数据库里查找到的 Client 对象保存到 HttpContext 里,方便接口中使用这个对象。
HttpContext是 ASP.NET Core 中用于封装 HTTP 请求和响应的对象。它提供了一种访问 HTTP 特定信息的统一方式,包括请求的详细信息、响应的内容、用户信息、会话数据、请求头和响应头等。每次 HTTP 请求对应一个HttpContext实例,该实例贯穿请求处理的整个生命周期。
这里我们利用 HttpContext 提供的 Items 这个键值对集合(用于在请求的不同中间件和组件之间共享数据)来共享 Client 对象。
var client = HttpContext.Items["client"] as Client;
Client ID 所在的位置不确定,需要在使用的时候配置
定义一个枚举
public enum ClientIdSource {
Query,
Body,
Route,
Header
}
在 Filters 目录中创建 ValidateClientAttribute.cs 文件
根据配置,从指定的位置根据指定的参数名称读取 Client ID ,然后在数据库中查询。
public class ValidateClientAttribute(
ClientIdSource source = ClientIdSource.Query
) : ActionFilterAttribute {
/// <summary>
/// 客户端ID的参数名称,注意是 DTO 里的属性名称,不是请求体JSON的字段名
/// </summary>
public string ParameterName { get; set; } = "client_id";
/// <summary>
/// 设置验证成功之后,存储在 `HttpContext.Items` 对象中的 `Client` 对象的 key
/// </summary>
public string ClientItemKey { get; set; } = "client";
public override async Task OnActionExecutionAsync(ActionExecutingContext context, ActionExecutionDelegate next) {
var clientId = "";
switch (source) {
case ClientIdSource.Query:
clientId = context.HttpContext.Request.Query[ParameterName];
break;
case ClientIdSource.Body:
// 使用反射从请求体中读取 client_id
// 这里读取到的 body 是 Controller 下 Action 方法的第一个参数,通常是请求体中的 JSON 数据模型绑定转换为对应 DTO 实例
var body = context.ActionArguments.Values.FirstOrDefault();
if (body != null) {
var clientProp = body.GetType().GetProperty(ParameterName);
if (clientProp != null) {
clientId = clientProp.GetValue(body) as string;
}
}
break;
case ClientIdSource.Route:
clientId = context.RouteData.Values[ParameterName] as string;
break;
case ClientIdSource.Header:
clientId = context.HttpContext.Request.Headers[ParameterName];
break;
}
if (string.IsNullOrWhiteSpace(clientId)) {
throw new ArgumentNullException(ParameterName);
}
var clientRepo = context.HttpContext.RequestServices.GetRequiredService<IBaseRepository<Client>>();
var client = await clientRepo.Select.Where(a => a.ClientId == clientId).FirstAsync();
if (client != null) {
context.HttpContext.Items["client"] = client;
await next();
}
else {
context.Result = new NotFoundObjectResult(
new ApiResponse { Message = $"client with id {clientId} not found" });
}
}
}
有几点需要注意的,下面介绍一下
其他几个参数位置还好,获取都比较容易
如果是 POST 或者 PUT 方法,一般都是把数据以 JSON 的形式放在 Request Body 里
这个时候,我们可以去读取这个 Body 的值,但读取完之后得自己解析 JSON,还得把 Stream 写回去,有点麻烦。而且如果 Body 是 XML 形式,还要用其他的解析方式。
这里我使用了反射的方式,让 AspNetCore 框架去处理这个 Request Body ,然后我直接用反射,根据参数名去读取 Client ID
这是几个使用例子
然后 DTO 里的参数名是 ClientId
public class PwdLoginDto : LoginDto {
[Required]
[JsonPropertyName("username")]
public string Username { get; set; }
[Required]
[JsonPropertyName("password")]
public string Password { get; set; }
}
在接口中使用
[HttpPost("login/password")]
[ValidateClient(ClientIdSource.Body, ParameterName = "ClientId")]
public async Task<IActionResult> LoginByPassword(PwdLoginDto dto) {
}
参数名称是 client_id
[HttpGet("authorize/url")]
[ValidateClient(ClientIdSource.Query, ParameterName = "client_id")]
public ApiResponse<string> GetAuthorizeUrl([FromQuery] AuthorizeInput input) {
return new ApiResponse<string>(GenerateAuthorizeUrl(input));
}