我正在开发一个API,它最初验证来自https请求的Accept标头,然后通过中间件进行响应。我已经在Invoke方法中添加了验证Accept标头的逻辑,如果验证结果(字符串比较)为false,如何返回错误的请求对象。
//Invoke method
public async Task<ObjectResult> Invoke(HttpContext context)
{
bool result = context.Request.Headers["Accept"].ToString() ==
"app/version.abc-ghi-api.v";
if (result == true)
{
await _next(context);
}
ObjectResult objectResult = await
Error.GenerateErrorMessage("Accept header validation
failed", Log.Logger);
return objectResult;
}
//Error class
public class Error
{
public async static Task<ObjectResult> Error(string message, logger log)
{
//logic for creating the payload
return new BadRequestObjectResult(errorMessagePayload)
}
}
//Startup class configure method
public void Configure(IApplicationBuilder app, IHostingEnvironment env)
{
app.UseMiddleware<AcceptHeaderMiddleware>();
if (env.IsDevelopment())
{
app.UseDeveloperExceptionPage();
}
else
{
app.UseHsts();
}
app.UseMvc();
}
我期待badObjectResult(当验证失败时)作为响应,但我得到200 OK响应和空白响应正文。
IActionResult
类型仅在MVC管道中使用。作为该管道的一部分,然后执行来自动作或MVC过滤器的结果对象以在HttpResponse
object上创建实际响应。
但这意味着您实际上无法在MVC管道之外使用操作结果对象。因此,如果您有自定义中间件,您将无法使用这些结果,因为它们不会被MVC管道处理(从技术上讲,您可以自己执行结果,但我不建议这样做)。
因此,您必须自己设置结果。如果您只想设置一些(失败)状态代码,这很容易做到:
public async Task<ObjectResult> Invoke(HttpContext context)
{
bool result = context.Request.Headers["Accept"].ToString() == "app/version.abc-ghi-api.v";
if (result)
{
await _next(context);
}
else
{
context.Result.StatusCode = 500;
}
}
如果你想要包含一个主体,那么它会变得有点复杂,因为你现在必须写入输出流,这也意味着你首先必须正确地序列化你的输出。
因此,我不建议在自定义中间件中执行此操作,而是建议您在MVC过滤器中执行此操作。如上所述,filters作为MVC管道的一部分运行,因此它们只运行MVC中间件。这意味着您将无法以这种方式保护您的静态文件 - 但通常这不是什么大问题。
在您的情况下,由于您想通过HTTP标头授权客户端,我建议您创建一个authorization filter:
public class AcceptHeaderAuthorizationFilter : IAuthorizationFilter
{
public void OnAuthorization(AuthorizationFilterContext context)
{
bool result = context.HttpContext.Request.Headers["Accept"].ToString() == "app/version.abc-ghi-api.v";
if (!result)
{
var result = new Error.GenerateErrorMessage("Accept header validation failed", Log.Logger);
context.Result = result;
}
}
}
现在使用MVC管道,因此您可以使用IActionResult
对象。由于您在授权过滤器中设置了结果,因此您也将剩余管道短路,因此之后不会执行任何操作。执行将停止并立即生成结果。
最后一点说明:Accept
header有一个非常具体的用例,用于内容协商。这意味着当您将其设置为某种自定义内容类型时,服务器应返回具有此类内容类型的结果。将其用于授权目的并不适合这里。