我在RequestFilter
执行顺序中检测到问题。
ServiceStack中的ValidationFeature
是一个只注册全局请求过滤器的插件。操作顺序指出全局请求过滤器在优先级<0的过滤器属性之后和优先级> = 0的过滤器属性之前执行
我的BasicAuth
过滤器具有-100优先级,实际上如果Service
在类级别注释,一切顺利,但是当注释处于方法级别时,它会失败,并且认证过滤器为执行后。
我使用的是3.9.70 这有什么快速解决方法吗?感谢
答案 0 :(得分:4)
在方法级别添加注释时,您正在创建Action Request Filter
(因为您要将注释添加到操作方法中),Order of Operations中的操作是操作8,其他过滤器运行后。
5:具有优先级&lt;的请求过滤器属性0被执行
6:然后执行任何全局请求过滤器 7:遵循优先级> = 0的请求过滤器属性 8:操作请求过滤器(仅限新API)
我建议的最佳解决方法是重新考虑您的服务结构。我想你遇到了这些困难,因为你在安全的api方法中添加了未经验证的api方法,因此使用方法级属性来控制身份验证。所以你可能会做这样的事情你的类和属性会有所不同,这只是一个范例:
public class MyService : Service
{
// Unauthenticated API method
public object Get(GetPublicData request)
{
return {};
}
// Secure API method
[MyBasicAuth] // <- Checks user has permission to run this method
public object Get(GetSecureData request)
{
return {};
}
}
我会以不同的方式执行此操作,并将您的不安全和安全方法分成2个服务。所以我用这个:
// Wrap in an outer class, then you can still register AppHost with `typeof(MyService).Assembly`
public partial class MyService
{
public class MyPublicService : Service
{
public object Get(GetPublicData request)
{
return {};
}
}
[MyBasicAuth] // <- Check is now class level, can run as expected before Validation
public class MySecureService : Service
{
public object Get(GetSecureData request)
{
return {};
}
}
}
您可以通过创建自己的自定义验证功能来解决执行顺序问题,这将允许您推迟验证过程。我已经创建了一个功能齐全的自托管ServiceStack v3应用程序来演示这一点。
基本上不是添加标准的ValidationFeature
插件,而是实现了稍微修改过的版本:
public class MyValidationFeature : IPlugin
{
static readonly ILog Log = LogManager.GetLogger(typeof(MyValidationFeature));
public void Register(IAppHost appHost)
{
// Registers to use your custom validation filter instead of the standard one.
if(!appHost.RequestFilters.Contains(MyValidationFilters.RequestFilter))
appHost.RequestFilters.Add(MyValidationFilters.RequestFilter);
}
}
public static class MyValidationFilters
{
public static void RequestFilter(IHttpRequest req, IHttpResponse res, object requestDto)
{
// Determine if the Request DTO type has a MyRoleAttribute.
// If it does not, run the validation normally. Otherwise defer doing that, it will happen after MyRoleAttribute.
if(!requestDto.GetType().HasAttribute<MyRoleAttribute>()){
Console.WriteLine("Running Validation");
ValidationFilters.RequestFilter(req, res, requestDto);
return;
}
Console.WriteLine("Deferring Validation until Roles are checked");
}
}
配置使用我们的插件:
// Configure to use our custom Validation Feature (MyValidationFeature)
Plugins.Add(new MyValidationFeature());
然后我们需要创建自定义属性。你的属性当然会有所不同。如果您对用户具有所需角色并满足您的条件感到满意,那么您需要做的关键是致电ValidationFilters.RequestFilter(req, res, requestDto);
。
public class MyRoleAttribute : RequestFilterAttribute
{
readonly string[] _roles;
public MyRoleAttribute(params string[] roles)
{
_roles = roles;
}
#region implemented abstract members of RequestFilterAttribute
public override void Execute(IHttpRequest req, IHttpResponse res, object requestDto)
{
Console.WriteLine("Checking for required role");
// Replace with your actual role checking code
var role = req.GetParam("role");
if(role == null || !_roles.Contains(role))
throw HttpError.Unauthorized("You don't have the correct role");
Console.WriteLine("Has required role");
// Perform the deferred validation
Console.WriteLine("Running Validation");
ValidationFilters.RequestFilter(req, res, requestDto);
}
#endregion
}
为此,我们需要在DTO路线上应用我们的自定义属性而不是动作方法。所以这与你现在的做法略有不同,但仍应灵活。
[Route("/HaveChristmas", "GET")]
[MyRole("Santa","Rudolph","MrsClaus")] // Notice our custom MyRole attribute.
public class HaveChristmasRequest {}
[Route("/EasterEgg", "GET")]
[MyRole("Easterbunny")]
public class GetEasterEggRequest {}
[Route("/EinsteinsBirthday", "GET")]
public class EinsteinsBirthdayRequest {}
然后你的服务看起来像这样:
public class TestController : Service
{
// Roles: Santa, Rudolph, MrsClaus
public object Get(HaveChristmasRequest request)
{
return new { Presents = "Toy Car, Teddy Bear, Xbox" };
}
// Roles: Easterbunny
public object Get(GetEasterEggRequest request)
{
return new { EasterEgg = "Chocolate" };
}
// No roles required
public object Get(EinsteinsBirthdayRequest request)
{
return new { Birthdate = new DateTime(1879, 3, 14) };
}
}
因此,当我们调用不具有/EinsteinsBirthday
属性的路由MyRole
时,将正常调用验证,就好像使用标准{{1 }}
如果我们调用路由ValidationFeature
,那么我们的验证插件将确定DTO具有我们的属性而不是运行。然后我们的属性过滤器触发,它将触发验证运行。因此订单是正确的。