HttpModule EndRequest处理程序调用两次

Question

我正在尝试为在WCF中实现并托管在Azure上的REST服务实现身份验证。我正在使用HttpModule来处理AuthenticationRequest，PostAuthenticationRequest和EndRequest事件。如果Authorization标头丢失或者其中包含的标记无效，则在EndRequest期间我将响应的StatusCode设置为401.但是，我已确定调用EndRequest两次，并且在第二次调用时响应已经有标题set，导致设置StatusCode的代码抛出异常。

我向Init（）添加了锁，以确保处理程序没有被注册两次;还是跑了两次。 Init（）也运行了两次，表明正在创建两个HttpModule实例。但是，在VS调试器中使用Set Object ID似乎表明请求实际上是不同的请求。我在Fiddler中验证过，浏览器只向我的服务发出了一个请求。

如果我切换到使用global.asax路由而不是依赖于WCF服务主机配置，则只调用一次处理程序，一切正常。

如果我将配置添加到system.web配置部分以及Web.config中的system.webServer配置部分，则只调用一次处理程序，一切正常。

所以我有缓解措施，但我真的不喜欢我不明白的行为。为什么处理程序被调用两次？

以下是问题的最小重复：

的Web.config：

  <system.web>
    <compilation debug="true" targetFramework="4.0" />
    <!--<httpModules>
      <add name="AuthModule" type="TestWCFRole.AuthModule, TestWCFRole"/>
    </httpModules>-->
  </system.web>
  <system.serviceModel>
    <behaviors>
      <endpointBehaviors>
        <behavior name="WebBehavior">
          <webHttp/>
        </behavior>
      </endpointBehaviors>
      <serviceBehaviors>
        <behavior>
          <!-- To avoid disclosing metadata information, set the value below to false and remove the metadata endpoint above before deployment -->
          <serviceMetadata httpGetEnabled="true" />
          <!-- To receive exception details in faults for debugging purposes, set the value below to true.  Set to false before deployment to avoid disclosing exception information -->
          <serviceDebug includeExceptionDetailInFaults="true"/>
        </behavior>
      </serviceBehaviors>
    </behaviors>
    <serviceHostingEnvironment multipleSiteBindingsEnabled="true" aspNetCompatibilityEnabled="true" />
    <services>
      <service name="TestWCFRole.Service1">
        <endpoint binding="webHttpBinding" name="RestEndpoint" contract="TestWCFRole.IService1" bindingConfiguration="HttpSecurityBinding" behaviorConfiguration="WebBehavior"/>
        <host>
          <baseAddresses>
            <add baseAddress="http://localhost/" />
          </baseAddresses>
        </host>
      </service>
    </services>
    <standardEndpoints>
      <webHttpEndpoint>
        <standardEndpoint name="" helpEnabled="true" automaticFormatSelectionEnabled="true"/>
      </webHttpEndpoint>
    </standardEndpoints>
    <bindings>
      <webHttpBinding>
        <binding name="HttpSecurityBinding" >
          <security mode="None" />
        </binding>
      </webHttpBinding>
    </bindings>
  </system.serviceModel>
  <system.webServer>
    <modules runAllManagedModulesForAllRequests="true">
      <add name="AuthModule" type="TestWCFRole.AuthModule, TestWCFRole"/>
    </modules>
    <directoryBrowse enabled="true"/>
  </system.webServer>

Http模块：

using System;
using System.Web;

namespace TestWCFRole
{
    public class AuthModule : IHttpModule
    {
        /// <summary>
        /// You will need to configure this module in the web.config file of your
        /// web and register it with IIS before being able to use it. For more information
        /// see the following link: http://go.microsoft.com/?linkid=8101007
        /// </summary>
        #region IHttpModule Members

        public void Dispose()
        {
            //clean-up code here.
        }

        public void Init(HttpApplication context)
        {
            // Below is an example of how you can handle LogRequest event and provide 
            // custom logging implementation for it
            context.EndRequest += new EventHandler(OnEndRequest);
        }

        #endregion

        public void OnEndRequest(Object source, EventArgs e)
        {
            HttpContext.Current.Response.StatusCode = 401;
        }
    }
}

Answer 1

当ASP.net应用程序启动时，为了最大限度地提高性能，ASP.NET Worker进程将根据需要实例化尽可能多的HttpApplication个对象。每个HttpApplication对象也将实例化已注册的每个IHttpModule的一个副本并调用Init方法！这实际上是在IIS下运行的ASP.NET进程的内部设计（或cassini，它是在Web服务器中构建的VS）。可能是因为您的ASPX页面链接到浏览器将尝试下载的其他资源，外部资源，iframe，css文件或ASP.NET Worker Process行为。

幸运的是，Global.asax并非如此：

Here's from MSDN：

  

Application_Start和Application_End方法是特殊方法   不代表HttpApplication事件。 ASP.NET只调用一次   对于应用程序域的生命周期，而不是每个   HttpApplication实例。

但是，在创建所有模块之后，为HttpApplication类的每个实例调用一次HTTPModule's init方法

  

第一次在。中请求ASP.NET页面或进程   应用程序，创建了一个新的HttpApplication实例。但是，要   最大化性能，HttpApplication实例可能会被重用   多个请求。

如下图所示：

如果您希望保证只运行一次的代码，您可以使用Application_Start的{​​{1}}或设置一个标志并将其锁定在基础模块中，这是不认为是好的为了认证而练习！

Answer 2

很抱歉没有解释为什么它可以被调用两次，但是EndRequest最终会因为多种原因被调用。请求完成，请求被中止，发生了一些错误。因此，如果你到达那里，你实际上有一个401，我可能不会相信它可能是出于其他原因。

我只是将我的逻辑保留在AuthenticateRequest管道中：

    public class AuthenticationModule : IHttpModule
    {
        public void Dispose() { }

        public void Init(HttpApplication context)
        {
            context.AuthenticateRequest += Authenticate;
        }

        public static void Authenticate(object sender, EventArgs e)
        {
            // authentication logic here            
            //.............

            if (authenticated) {
                HttpContext.Current.User = new System.Security.Principal.GenericPrincipal(myUser, myRoles);
            }

            // failure logic here           
            //.............         
        }
    }