我正在尝试为在WCF中实现并托管在Azure上的REST服务实现身份验证。我正在使用HttpModule来处理AuthenticationRequest,PostAuthenticationRequest和EndRequest事件。如果Authorization标头丢失或者其中包含的标记无效,则在EndRequest期间我将响应的StatusCode设置为401.但是,我已确定调用EndRequest两次,并且在第二次调用时响应已经有标题set,导致设置StatusCode的代码抛出异常。
我向Init()添加了锁,以确保处理程序没有被注册两次;还是跑了两次。 Init()也运行了两次,表明正在创建两个HttpModule实例。但是,在VS调试器中使用Set Object ID似乎表明请求实际上是不同的请求。我在Fiddler中验证过,浏览器只向我的服务发出了一个请求。
如果我切换到使用global.asax路由而不是依赖于WCF服务主机配置,则只调用一次处理程序,一切正常。
如果我将配置添加到system.web配置部分以及Web.config中的system.webServer配置部分,则只调用一次处理程序,一切正常。
所以我有缓解措施,但我真的不喜欢我不明白的行为。为什么处理程序被调用两次?
以下是问题的最小重复:
的Web.config:
<system.web>
<compilation debug="true" targetFramework="4.0" />
<!--<httpModules>
<add name="AuthModule" type="TestWCFRole.AuthModule, TestWCFRole"/>
</httpModules>-->
</system.web>
<system.serviceModel>
<behaviors>
<endpointBehaviors>
<behavior name="WebBehavior">
<webHttp/>
</behavior>
</endpointBehaviors>
<serviceBehaviors>
<behavior>
<!-- To avoid disclosing metadata information, set the value below to false and remove the metadata endpoint above before deployment -->
<serviceMetadata httpGetEnabled="true" />
<!-- To receive exception details in faults for debugging purposes, set the value below to true. Set to false before deployment to avoid disclosing exception information -->
<serviceDebug includeExceptionDetailInFaults="true"/>
</behavior>
</serviceBehaviors>
</behaviors>
<serviceHostingEnvironment multipleSiteBindingsEnabled="true" aspNetCompatibilityEnabled="true" />
<services>
<service name="TestWCFRole.Service1">
<endpoint binding="webHttpBinding" name="RestEndpoint" contract="TestWCFRole.IService1" bindingConfiguration="HttpSecurityBinding" behaviorConfiguration="WebBehavior"/>
<host>
<baseAddresses>
<add baseAddress="http://localhost/" />
</baseAddresses>
</host>
</service>
</services>
<standardEndpoints>
<webHttpEndpoint>
<standardEndpoint name="" helpEnabled="true" automaticFormatSelectionEnabled="true"/>
</webHttpEndpoint>
</standardEndpoints>
<bindings>
<webHttpBinding>
<binding name="HttpSecurityBinding" >
<security mode="None" />
</binding>
</webHttpBinding>
</bindings>
</system.serviceModel>
<system.webServer>
<modules runAllManagedModulesForAllRequests="true">
<add name="AuthModule" type="TestWCFRole.AuthModule, TestWCFRole"/>
</modules>
<directoryBrowse enabled="true"/>
</system.webServer>
Http模块:
using System;
using System.Web;
namespace TestWCFRole
{
public class AuthModule : IHttpModule
{
/// <summary>
/// You will need to configure this module in the web.config file of your
/// web and register it with IIS before being able to use it. For more information
/// see the following link: http://go.microsoft.com/?linkid=8101007
/// </summary>
#region IHttpModule Members
public void Dispose()
{
//clean-up code here.
}
public void Init(HttpApplication context)
{
// Below is an example of how you can handle LogRequest event and provide
// custom logging implementation for it
context.EndRequest += new EventHandler(OnEndRequest);
}
#endregion
public void OnEndRequest(Object source, EventArgs e)
{
HttpContext.Current.Response.StatusCode = 401;
}
}
}
答案 0 :(得分:7)
当ASP.net应用程序启动时,为了最大限度地提高性能,ASP.NET Worker进程将根据需要实例化尽可能多的HttpApplication
个对象。每个HttpApplication
对象也将实例化已注册的每个IHttpModule
的一个副本并调用Init方法!这实际上是在IIS下运行的ASP.NET进程的内部设计(或cassini,它是在Web服务器中构建的VS)。可能是因为您的ASPX页面链接到浏览器将尝试下载的其他资源,外部资源,iframe,css文件或ASP.NET Worker Process行为。
幸运的是,Global.asax并非如此:
Application_Start和Application_End方法是特殊方法 不代表HttpApplication事件。 ASP.NET只调用一次 对于应用程序域的生命周期,而不是每个 HttpApplication实例。
但是,在创建所有模块之后,为HttpApplication类的每个实例调用一次HTTPModule's init
方法
第一次在。中请求ASP.NET页面或进程 应用程序,创建了一个新的HttpApplication实例。但是,要 最大化性能,HttpApplication实例可能会被重用 多个请求。
如下图所示:
如果您希望保证只运行一次的代码,您可以使用Application_Start
的{{1}}或设置一个标志并将其锁定在基础模块中,这是不认为是好的为了认证而练习!
答案 1 :(得分:2)
很抱歉没有解释为什么它可以被调用两次,但是EndRequest最终会因为多种原因被调用。请求完成,请求被中止,发生了一些错误。因此,如果你到达那里,你实际上有一个401,我可能不会相信它可能是出于其他原因。
我只是将我的逻辑保留在AuthenticateRequest管道中:
public class AuthenticationModule : IHttpModule
{
public void Dispose() { }
public void Init(HttpApplication context)
{
context.AuthenticateRequest += Authenticate;
}
public static void Authenticate(object sender, EventArgs e)
{
// authentication logic here
//.............
if (authenticated) {
HttpContext.Current.User = new System.Security.Principal.GenericPrincipal(myUser, myRoles);
}
// failure logic here
//.............
}
}