Промежуточное программное обеспечение аутентификации или явные заголовки в контроллерах, генерируемых анализатором

Промежуточное программное обеспечение аутентификации или явные заголовки в контроллерах, генерируемых анализатором – луч ⇐ C#

1 сообщение • Страница 1 из 1

Anonymous

Промежуточное программное обеспечение аутентификации или явные заголовки в контроллерах, генерируемых анализатором – луч

Цитата

Сообщение Anonymous » 13 янв 2026, 16:54

Я создаю серверный API Blazor WebAssembly с использованием ASP.NET Core, и все мои контроллеры генерируются автоматически с помощью анализаторов кода. Эти контроллеры очень тонкие, они существуют в основном для предоставления правильного интерфейса API, а не для хранения бизнес-логики.
Моя система использует службу аутентификации на основе сеанса, где SessionContext передается в заголовках (

Код: Выделить всё

X-Session

) для каждого запроса. Каждый запрос также возвращает обновленные данные сеанса в заголовках ответа.
Я обсуждаю два подхода к обработке аутентификации и состояния сеанса:
Вариант 1 – промежуточное программное обеспечение:

Чтение данных сеанса из заголовков в промежуточном программном обеспечении.
Инициализируйте контекст аутентификации/сеанса в промежуточном программном обеспечении.
Вызов действия контроллера.
Запись обновленных заголовков сеанса обратно в промежуточное ПО.

Промежуточное ПО: чтение

Код: Выделить всё

public class SessionContextMiddleware
{
private readonly RequestDelegate _next;

public SessionContextMiddleware(RequestDelegate next) => _next = next;

public async Task Invoke(HttpContext ctx, IServerAuthenticationService auth)
{
var raw = ctx.Request.Headers["X-Session"].FirstOrDefault();
await auth.InitializeAsync(raw);
await _next(ctx);
}
}

Промежуточное ПО: запись

Код: Выделить всё

public class SessionContextCommitMiddleware
{
private readonly RequestDelegate _next;

public SessionContextCommitMiddleware(RequestDelegate next) => _next = next;

public async Task Invoke(HttpContext ctx, IServerAuthenticationService auth)
{
await _next(ctx);
var newState = await auth.CreateSessionData();
if (newState != null)
ctx.Response.Headers["X-Session"] = newState;
}
}

Контроллер (созданный анализатором исходного кода)

Код: Выделить всё

[HttpPost("create")]
public async Task Create(
[FromForm] Country country)
{
if (!ModelState.IsValid) return BadRequest(ModelState);
if (auth.IsForbidden) return Forbid();
var result = await countriesService.Create(country);
return Ok(result);
}

Плюсы:

Контроллеры остаются маленькими и чистыми.
Централизованная обработка сеансов/аутентификации.

Минусы:

Swagger/OpenAPI не отображает заголовки автоматически. (
Код: Выделить всё
```
X-Session
```
) в документации.
Разработчики, читающие контроллер, не могут видеть, откуда берется сеанс/аутентификация (менее явно).

Вариант 2 – явный в контроллерах:

Каждое действие контроллера получает строку [FromHeader] sessionData.
Явно вызывает auth.InitializeAsync(sessionData) перед бизнес-логикой.
Явно записывает обратно Response.Headers["X-Session"] = ... после бизнес-логики.

Контроллер (сгенерирован Source Анализатор)

Код: Выделить всё

[HttpPost("create")]
public async Task Create(
[FromForm] Country country,
[FromHeader(Name = "X-Session")] string sessionData)
{
if (!ModelState.IsValid) return BadRequest(ModelState);
await auth.InitializeAsync(sessionData);
if (auth.IsForbidden) return Forbid();
var result = await countriesService.Create(country);
Response.Headers["X-Session"] = await auth.CreateSessionData();
return Ok(result);
}

Плюсы:

Полностью понятен и виден разработчикам.
Swagger/OpenAPI автоматически документирует заголовки.
Легко понять подросткам.

Минусы:

Небольшое дублирование в каждом контроллере (хотя они генерируются автоматически).
Контроллеры теперь обрабатывают небольшую «инфраструктурную» логику.

Контекст:

Контроллеры генерируются и почти идентичны.
Детализация/различия между конечными точками не нужны.
Производительность не имеет значения (доминирует ввод-вывод).
Безопасность, удобство обслуживания и повторное использование уже контролируются сгенерированными сервисами.

Вопрос:
Учитывая эти ограничения, что бы вы порекомендовали?

Централизованная аутентификация/сессия в промежуточном программном обеспечении (чистые контроллеры, менее явные)
Явные вызовы сеанса/аутентификации в каждом сгенерированном контроллере (прозрачные, удобные для Swagger)

Есть ли другие компромиссы, которые мне не хватает, особенно в отношении читабельности, документации OpenAPI и адаптации разработчиков?

Подробнее здесь: https://stackoverflow.com/questions/798 ... ontrollers

1768312494

Anonymous

Я создаю серверный API Blazor WebAssembly с использованием ASP.NET Core, и все мои контроллеры [b]генерируются автоматически[/b] с помощью анализаторов кода. Эти контроллеры очень тонкие, они существуют в основном для предоставления правильного интерфейса API, а не для хранения бизнес-логики.
Моя система использует [b]службу аутентификации на основе сеанса[/b], где SessionContext передается в заголовках ([code]X-Session[/code]) для каждого запроса. Каждый запрос также возвращает обновленные данные сеанса в заголовках ответа.
Я обсуждаю два подхода к обработке аутентификации и состояния сеанса:
Вариант 1 – промежуточное программное обеспечение:
[list]
[*]Чтение данных сеанса из заголовков в промежуточном программном обеспечении.

[*]Инициализируйте контекст аутентификации/сеанса в промежуточном программном обеспечении.

[*]Вызов действия контроллера.

[*]Запись обновленных заголовков сеанса обратно в промежуточное ПО.

[/list]
Промежуточное ПО: чтение
[code]public class SessionContextMiddleware
{
private readonly RequestDelegate _next;

public SessionContextMiddleware(RequestDelegate next) => _next = next;

public async Task Invoke(HttpContext ctx, IServerAuthenticationService auth)
{
var raw = ctx.Request.Headers["X-Session"].FirstOrDefault();
await auth.InitializeAsync(raw);
await _next(ctx);
}
}
[/code]
Промежуточное ПО: запись
[code]public class SessionContextCommitMiddleware
{
private readonly RequestDelegate _next;

public SessionContextCommitMiddleware(RequestDelegate next) => _next = next;

public async Task Invoke(HttpContext ctx, IServerAuthenticationService auth)
{
await _next(ctx);
var newState = await auth.CreateSessionData();
if (newState != null)
ctx.Response.Headers["X-Session"] = newState;
}
}
[/code]
Контроллер (созданный анализатором исходного кода)
[code][HttpPost("create")]
public async Task Create(
[FromForm] Country country)
{
if (!ModelState.IsValid) return BadRequest(ModelState);
if (auth.IsForbidden) return Forbid();
var result = await countriesService.Create(country);
return Ok(result);
}
[/code]
Плюсы:
[list]
[*]Контроллеры остаются маленькими и чистыми.

[*]Централизованная обработка сеансов/аутентификации.

[/list]
Минусы:
[list]
[*]Swagger/OpenAPI не отображает заголовки автоматически.  ([code]X-Session[/code]) в документации.

[*]Разработчики, читающие контроллер, не могут видеть, откуда берется сеанс/аутентификация (менее явно).

[/list]
Вариант 2 – явный в контроллерах:
[list]
[*]Каждое действие контроллера получает строку [FromHeader] sessionData.

[*]Явно вызывает auth.InitializeAsync(sessionData) перед бизнес-логикой.

[*]Явно записывает обратно Response.Headers["X-Session"] = ... после бизнес-логики.

[/list]
Контроллер (сгенерирован Source Анализатор)
[code][HttpPost("create")]
public async Task Create(
[FromForm] Country country,
[FromHeader(Name = "X-Session")] string sessionData)
{
if (!ModelState.IsValid) return BadRequest(ModelState);
await auth.InitializeAsync(sessionData);
if (auth.IsForbidden) return Forbid();
var result = await countriesService.Create(country);
Response.Headers["X-Session"] = await auth.CreateSessionData();
return Ok(result);
}
[/code]
Плюсы:
[list]
[*]Полностью понятен и виден разработчикам.

[*]Swagger/OpenAPI автоматически документирует заголовки.

[*]Легко понять подросткам.

[/list]
Минусы:
[list]
[*]Небольшое дублирование в каждом контроллере (хотя они генерируются автоматически).

[*]Контроллеры теперь обрабатывают небольшую «инфраструктурную» логику.

[/list]
Контекст:
[list]
[*]Контроллеры генерируются и почти идентичны.

[*]Детализация/различия между конечными точками не нужны.

[*]Производительность не имеет значения (доминирует ввод-вывод).

[*]Безопасность, удобство обслуживания и повторное использование уже контролируются сгенерированными сервисами.

[/list]
Вопрос:
Учитывая эти ограничения, что бы вы порекомендовали?
[list]
[*]Централизованная аутентификация/сессия в промежуточном программном обеспечении (чистые контроллеры, менее явные)

[*]Явные вызовы сеанса/аутентификации в каждом сгенерированном контроллере (прозрачные, удобные для Swagger)

[/list]
Есть ли другие компромиссы, которые мне не хватает, особенно в отношении [b]читабельности, документации OpenAPI и адаптации разработчиков[/b]? 

Подробнее здесь: [url]https://stackoverflow.com/questions/79866990/authentication-middleware-vs-explicit-headers-in-analyzer-generated-controllers[/url]