我正在尝试通过Silverlight验证对WCF DataServices服务的调用。实质上,当用户登录时,他们会获得一个特殊的哈希值,该哈希值应该嵌入到WCF DataServices的每个请求的头文件中。目前通过QueryInterceptor方法将其用作检查,例如
[QueryInterceptor("Orders")]
public Expression<Func<Orders,bool>> OnQueryOrders()
{
string hash = WebOperationContext.Current.IncomingRequest.Headers.Get("MyHeader");
if(!TestHash(hash))
{
return o => false;
}
else
{
return o => true;
}
}
这似乎是实现这一目标的最糟糕方式。在运行查询之前,WCF Dataservices中是否有任何钩子可用于取消请求?请记住,此服务是无状态的,无法访问会话。
答案 0 :(得分:5)
其实我觉得我自己解决了这个问题。通过重写OnStartProcessingRequest,如果它不适合,我可以抛出异常。
protected override void OnStartProcessingRequest(ProcessRequestArgs args)
{
if (string.IsNullOrEmpty(WebOperationContext.Current.IncomingRequest.Headers.Get("MyMagicHeader")))
{
throw new DataServiceException(404, "Access denied!");
}
else
{
base.OnStartProcessingRequest(args);
}
}
答案 1 :(得分:0)
您是否考虑过WCF消息检查员?我认为(不保证)消息检查器将在查询拦截器之前被命中,因此您可以检查标头并验证用户散列值。这是与Writing Message Inspectors
上的信息的良好链接