如何允许需要授权标头的缓存 API 端点？

Question

我正在寻找一种方法来缓存来自在 .NET Core 中开发的 API 端点的响应。对 API 的请求必须具有有效的 Authorization 标头作为要求的一部分。

我看到一些文章提到如果请求包含Authorization 标头，则无法进行缓存，这让我有点惊讶。

那么我应该如何解决这个问题呢？是否有任何库可以为这种场景启用缓存？

Answer 1

对于The Authorization header must not be present.，这是默认设置。

对于ResponseCachingMiddleware，它将调用IResponseCachingPolicyProvider检查是否缓存if (_policyProvider.AllowCacheStorage(context))的响应，如下所示：

// Should we store the response to this request?
if (_policyProvider.AllowCacheStorage(context))
{
    // Hook up to listen to the response stream
    ShimResponseStream(context);

    try
    {
        await _next(httpContext);

        // If there was no response body, check the response headers now. We can cache things like redirects.
        await StartResponseAsync(context);

        // Finalize the cache entry
        await FinalizeCacheBodyAsync(context);
    }
    finally
    {
        UnshimResponseStream(context);
    }

    return;
}

而且，ResponseCachingPolicyProvider 将通过

检查HeaderNames.Authorization

public virtual bool AttemptResponseCaching(ResponseCachingContext context)
{
    var request = context.HttpContext.Request;

    // Verify the method
    if (!HttpMethods.IsGet(request.Method) && !HttpMethods.IsHead(request.Method))
    {
        context.Logger.RequestMethodNotCacheable(request.Method);
        return false;
    }

    // Verify existence of authorization headers
    if (!StringValues.IsNullOrEmpty(request.Headers[HeaderNames.Authorization]))
    {
        context.Logger.RequestWithAuthorizationNotCacheable();
        return false;
    }

    return true;
}

对于ResponseCachingPolicyProvider，它是内部的，您无法从外部Microsoft.AspNetCore.ResponseCaching 更改。不建议为Authorization启用缓存，如果您坚持，可以参考ResponseCaching实现自己的ResponseCachingMiddleware。