身份验证前调用的 ASP.NET MVC 控制器构造函数

Question

我有一个 ASP.NET MVC 应用程序，其控制器如下所示：

[Authorize]
public class MyController : Controller
{
IMyRepository myRepository;
public MyController(IMyRepository myRepository)
{
   this.myRepository = myRepository;
}

...
}

我注意到这个构造函数在验证用户之前被调用，所以如果你是第一次访问这个页面，构造函数会在你重定向到登录屏幕之前被调用。这有很多问题，登录页面加载速度较慢，该站点更容易受到 DOS 攻击，而且我对未经身份验证的、未经授权的用户能够调用“墙后”之类的代码有点紧张。

除非用户被授权，否则我可以在构造函数中检查传入请求并保释，但我使用的是 IOC (Windsor)，这有点棘手，无论我是否存储，我的存储库都将被初始化实例，所以我将在每个存储库的构造函数中检查身份验证。有没有一种简单的方法可以让 .NET MVC 在调用构造函数之前对用户进行身份验证？我正在考虑将[PrincipalPermission(SecurityAction.Demand, Authenticated = true)] 添加到控制器中，但可能还有更好的方法。

编辑：

好的，不太高兴，但节目现在必须继续。我不能延迟初始化存储库，直到控制器内的某个稍后时间点。当您的控制器像我的示例中那样使用 IOC 时，您会在实例化控制器时获得存储库接口的已实例化实现。如果我可以控制正在创建的存储库，我可以轻松地调用 IsAuthenticated，而无需使用新方法。为了控制存储库初始化，您必须在每个实现中的存储库本身中实现某种延迟/延迟初始化。我不喜欢这个解决方案，因为它增加了不必要的复杂性，更重要的是控制器和存储库之间的耦合。存储库实现可以在延迟初始化没有意义的其他上下文中使用恕我直言。

Answer 1

控制器需要在授权发生之前被实例化，因为它可以通过OnAuthorization 方法充当自己的授权过滤器。改变这种行为将涉及替换 mvc 管道的一些核心部分。您认为AuthorizedAttribute 可能无法发挥作用有什么特别的原因吗？

您可以考虑的另一个选项是在控制器方法的OnActionExecuting 中而不是在构造函数中初始化您的存储库。

Answer 2

您可以使用 HttpModules（或 HttpHandler）在管道中更早地对请求进行身份验证。

• MSDN: Introduction to HTTP Modules
• MSDN: Implementing Intercepting Filter in ASP.NET Using HTTP Module

编辑

通过OWIN 的引入，您可以配置整个请求管道中间件，并将授权放在您想要的任何阶段。与上面的想法相同，但更容易实现。

Answer 3

保罗，

控制器的实例化是在控制器上的任何可调用操作之前的许多过程。即使攻击者试图从实例化和登录屏幕之间的这段时间间隔中受益，控制器动作也只有在动作有权这样做时才能运行，即我假设你的动作或控制器全部具有[Authorize] 属性。

我认为您不必为此担心太多，可以高枕无忧，尽管我理解您明显的好奇心。

Answer 4

就 DOS 攻击而言，这真的无关紧要——在第一次攻击之后（开发时经常看到），控制器实例化应该很便宜。好吧，除非您通过让构造函数执行实际工作（例如预缓存数据库查找）来对自己进行 DDOS。 . .