Мобильная версия Я пишу обработчик авторизации для удаления большого количества кода шаблона из контроллеров. Обратите внимание на строку в приведенном ниже коде //-> См. Объяснение выше! < /Code> < /p>
Важно, чтобы мы не раскрывали ABN, которые хранятся в нашей системе, если у вас нет доступа к ABN против, вы не можете выполнять операцию на ABN, к которой вы имеете доступ, но у вас нет необходимого уровня разрешения. Чтобы считать, что вы можете либо выполнить или не можете выполнить какое -то действие. < /p>
Этот вопрос говорит о статусах, которые я хочу использовать, но я просто не уверен, как правильно реализовать с помощью AspnetCore
предотвратить раскрытие информации HTTP Codes < /p>
using Microsoft.AspNetCore.Authorization;
using Microsoft.AspNetCore.Mvc;
using Microsoft.AspNetCore.Mvc.Filters;
using System.Linq;
using System.Threading.Tasks;
using WebApi.Common.Authorisation;
namespace WebApi.App.Requirements
{
///
/// Handles the authorisation of the Current user attempting to access an ABN.
/// If the user has an assocation with an ABN, but they cant perform the operation on it, then return 403 no
/// If the user has no association with the ABN, then we don't want to disclose that the other ABN exists within the system at all so 404,
///
public class TaxEntityHandler : AuthorizationHandler
{
protected override Task HandleRequirementAsync(AuthorizationHandlerContext context, TaxEntity requirement)
{
var userIdentifier = context.User.Claims.FirstOrDefault(x => x.Type == ApiClaims.ContactClaimType);
if (userIdentifier == null)
{
context.Fail();
}
else
{
var authorizationFilterContext = context.Resource as AuthorizationFilterContext;
if (authorizationFilterContext.RouteData.Values.TryGetValue("abn", out var abnValue))
{
var abn = (string)abnValue;
var accessLevel = AccessHelper.DetermineAccess(context.User, abn);
if (accessLevel == EntityAccessLevel.None)
{
//-> see explanation above!
authorizationFilterContext.Result = new NotFoundResult();
context.Succeed(requirement);
}
else
{
if ((accessLevel & requirement.Level) == accessLevel)
{
context.Succeed(requirement);
}
else
{
context.Fail();
}
}
}
}
return Task.CompletedTask;
}
}
}
< /code>
Полная реализация выше работает, но кажется странной. < /p>
Я также экспериментировал с этим блоком, но это привело к исключениям, которые были запускаются все через стек из -за того, что я не написал ничего, что было доставлено 403. />if (accessLevel == EntityAccessLevel.None)
{
authorizationFilterContext.HttpContext.Response.StatusCode = StatusCodes.Status404NotFound;
using(var sw = new StreamWriter(authorizationFilterContext.HttpContext.Response.Body))
{
sw.Write(NoData);
}
context.Fail();
}
< /code>
и, наконец, если я просто установил код состояния и не удался, то 403 был доставлен. < /p>
if (accessLevel == EntityAccessLevel.None)
{
authorizationFilterContext.HttpContext.Response.StatusCode = StatusCodes.Status404NotFound;
context.Fail();
}
< /code>
Если есть лучший пример этого, я бы узнал < /p>
Подробнее здесь: https://stackoverflow.com/questions/569 ... informatio
Как правильно вернуть 404 от разрешения для предотвращения раскрытия информации ⇐ C#
-
- Похожие темы
- Ответы
- Просмотры
- Последнее сообщение
-
-
Nginx «Индекс каталога запрещен», хотя и разрешения правильно устанавливаются разрешения
Anonymous » » в форуме Linux - 0 Ответы
- 30 Просмотры
-
Последнее сообщение Anonymous
-
