在我的AuthenticateRequest事件处理程序中,我设置了Thread的主体。这是我的IHttpModule的一部分:
public void Init(HttpApplication context)
{
context.AuthenticateRequest += AuthenticateRequest;
}
private void AuthenticateRequest(object sender, EventArgs e)
{
var principal = CreatePrincipal();
HttpContext.Current.User = principal;
}
但我有一个程序集,不应该访问System.Web,所以我不能使用HttpContext.Current.User,但我需要访问当前主体。我的第一个想法是将我的方法改为:
System.Threading.Thread.CurrentPrincipal = HttpContext.Current.User = principal;
并在需要时使用Thread.CurrentPrincipal。
但据我记得,在线程本地存储中存储请求特定内容是不安全的,因为多个线程可以处理相同的请求,所以我猜这与 Thread.CurrentPrincipal 相同。或者不是?
答案 0 :(得分:12)
我不同意Jeff Moser的回答。
标准的.NET授权内容都可以使用Thread.CurrentPrincipal。 e.g:
PrincipalPermissionAttribute
PrincipalPermission.Demand
此外,如果您配置.NET RoleProvider,它会将Thread.CurrentPrincipal设置为与HttpContext.User相同的主体。
因此,这是执行此操作的标准方法,我会在您的自定义身份验证代码中执行相同的操作(甚至更好 - 将其实现为自定义RoleProvider)。
对于异步I / O,this blog post表示Thread.CurrentPrincipal和区域性设置会自动传递给新线程。
如果您的库使用委托人进行授权,则使用Thread.CurrentPrincipal可能更安全,因为不受信任的代码可以将主体作为参数传递,而CAS可能会阻止它设置Thread.CurrentPrincipal。