标签:文件 预览 静态 next context new 拦截 权限 public
之前给公司开发了一个文件管理服务,最基本的功能就是文件的上传下载,以及更新删除、预览;负责公司各个子系统的相关附件的管理,所有的接口都通过AOP来进行身份拦截认证了,但是在进行预览的时候,因为采用的是生成一个全新的预览文件,然后直接返回预览文件的Url通过浏览器查看的这种模式,于是需要系统开放静态文件的预览功能,这个很简单:
app.UseStaticFiles(new StaticFileOptions()
{
ContentTypeProvider = provider,
OnPrepareResponse = ctx =>
{
ctx.Context.Response.Headers.Append("Cache-Control", "public,max-age=600");
}
});
app.UseFileServer(new FileServerOptions()
{
FileProvider = new PhysicalFileProvider
(
Path.Combine(Directory.GetCurrentDirectory(),"wwwroot","FileFactory")), //实际目录地址
RequestPath = new Microsoft.AspNetCore.Http.PathString("/文件中心"), //用户访问地址
EnableDirectoryBrowsing = true //开启目录浏览
});
在startup的Configure方法内加入上述代码即可完成这个操作。
然后如果仅仅是这样的话,不管那个用户,只要知道了这个链接,其实就相当于获得了整个文件服务系统的文件查看权限了,这肯定是违背数据安全性原则的,所以需要有一个中间件来对用户的静态文件访问权限进行过滤。
中间件的代码很简单
public class AuthorizeStaticFilesMiddleware
{
private readonly RequestDelegate _next;
public AuthorizeStaticFilesMiddleware(RequestDelegate next)
{
_next = next;
}
public async Task Invoke(HttpContext context)
{
if (new IdentityCheck().IdentityCheckMethod(context))
await _next(context);
else
await context.Response.WriteAsync("您无权查看该文件",Encoding.UTF8);
}
}
这里的判断自己去实现,一般实现单点登录的都是通过token,可以通过token的相关安全性判断权限的合理性。
直接在startup的Configure方法里面使用中间件即可:
app.UseWhen(
c => c.Request.Path.Value.Contains("文件中心"),
_ => _.UseMiddleware<AuthorizeStaticFilesMiddleware>());
至此,则完成了对静态文件的数据验证功能。
ps:当然这里是有一些问题的,比如某个本来不需要加验证的api也包含拦截关键字,那么会被直接拒掉,这种情况应该和后端开发协调,尽量避免使用这种Api。
标签:文件,预览,静态,next,context,new,拦截,权限,public 来源: https://www.cnblogs.com/yuchenghao/p/11571890.html
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。