我已经制作了剃刀页面来注销用户。当经过身份验证的用户访问路由/account/logout
时,我想向他显示带有成功消息的页面,如果用户是匿名的,那么页面是unathorized。但是,直接URL输入不能访问此成功页面。
以下代码运行良好,除了任何人都可以导航到/account/logout/success
作为正常页面(因为它不负责退出,它可能会令人困惑)。
public class LogoutModel : CustomPageModel
{
private readonly SignInManager _signInManager;
public LogoutModel(SignInManager signInManager) => _signInManager = signInManager;
public async Task<IActionResult> OnGetAsync()
{
if (_signInManager.IsSignedIn(User))
{
await _signInManager.SignOutAsync();
return RedirectToPage("Logout", "Success");
}
return Unauthorized();
}
public void OnGetSuccess()
{
}
}
如何防止处理程序OnGetSuccess直接访问?
Se this question是如何可能的。
不确定我是否建议走这条路线,因为它有点脏,而且是一个无可比拟的复杂解决方案。您可以为登录/注销用户返回不同的状态消息。
Logout.cshtml.cs
public class LogoutModel : CustomPageModel
{
private readonly SignInManager _signInManager;
public LogoutModel(SignInManager signInManager) => _signInManager = signInManager;
public string StatusMessage { get; set; }
public async Task<IActionResult> OnGetAsync()
{
if (_signInManager.IsSignedIn(User))
{
await _signInManager.SignOutAsync();
StatusMessage = "Successfully logged out!";
return Page();
}
else {
StatusMessage = "Already logged out!";
return Page();
}
}
}
Logout.cshtml
@page
@model X.LogoutModel
@Model.StatusMessage
我通过使用Attribute和IPageFilter来解决它,它检查了Referer头。
首先,我创建了属性
[AttributeUsage(AttributeTargets.Method)]
public class ChildHandlerAttribute : Attribute
{
}
然后我用它装饰了GetOnSuccess()
处理程序
[ChildHandler]
public void OnGetSuccess()
{
}
然后我实现了为子处理程序检查Referer头的过滤器。
public class ChildHandlerAsyncPageFilter : IAsyncPageFilter
{
public async Task OnPageHandlerExecutionAsync(PageHandlerExecutingContext context, PageHandlerExecutionDelegate next)
{
var pageHandlerExecutedContext = await next();
if (pageHandlerExecutedContext.HandlerMethod?.MethodInfo.GetCustomAttribute<ChildHandlerAttribute>() == null)
{
return;
}
var referrer = context.HttpContext.Request.Headers["Referer"].ToString();
var request = pageHandlerExecutedContext.HttpContext.Request;
if (!referrer.StartsWith($"{request.Scheme}://{request.Host}"))
{
pageHandlerExecutedContext.Result = new NotFoundResult();
}
}
public Task OnPageHandlerSelectionAsync(PageHandlerSelectedContext context) => Task.CompletedTask;
}
最后,我在Startup.cs中将过滤器添加到管道中
services.AddMvc(options =>
{
options.Filters.Add<ChildHandlerAsyncPageFilter>();
});
在您的方案中,用户出局并重定向为匿名用户。所以不能说这里只有某些用户才能访问此操作。
你应该以其他方式解决这个问题。例如,您可以在LogOut
Action中设置cookie中的值,然后检入Success
Action。为了获得更高的安全性,应用MVC用于CSRF的模式。