授权令牌在 ASP.NET Core 中未绑定

Question

我这样调用 REST api：

HttpClient client;
var uri = new Uri(Const.GetUserAccount);
client.DefaultRequestHeaders.Authorization = new AuthenticationHeaderValue("accessToken", App.AccessToken);
var response = await client.GetAsync(uri);

这是我的动作签名（accessToken 为空）：

public async Task<ActionResult> GetAccountAsync([FromHeader] string accessToken)

令牌在 Request.Headers.HeaderAuthorization 中，其值为：

"accessToken" + a space + the guid

这似乎很奇怪。不应该有一个名称值对吗？喜欢：

“accessToken”：“theGUID”

这就是它不具有约束力的原因吗？如果是这样，我该如何正确传递它？如果没有，我做错了什么？

Answer 1

这就是它不绑定的原因吗？

原因是您的操作方法需要来自请求标头的accessToken：

public async Task<ActionResult> GetAccountAsync([FromHeader] string accessToken)

虽然您在请求中没有这样的 AccessToken: xxx_yyy_zzz 标头。

如果您发送如下请求：

GET https://localhost:44323/api/values/account HTTP/1.1
accessToken : xxx_yyy_zzz

ModelBinder 将绑定accessToken。

如果是，如何正确传递？

我不确定您为什么要在操作方法中获取accessToken。但是，如果您确实需要通过模型绑定获取访问令牌，那么至少有两种方法可以做到这一点：

一种方法是更改​​您的操作方法以直接获取Authorization 标头：

public async Task<ActionResult> GetAccount2Async([FromHeader] string authorization) 
{
    if (String.IsNullOrEmpty(authorization)) { /* */ }
    if (!authorization.StartsWith("accessToken",StringComparison.OrdinalIgnoreCase)) { /* */ }

    var token = authorization.Substring("accessToken".Length).Trim();
    // ...
}

当您发送标头为 Authorization : accessToken xxx_yyy_zzz 的请求时，它将起作用。

然而，上面的方法并不干净。更好的方法是创建自定义 ModelBinder 。

首先让我们创建一个虚拟类来保存 accessToken 值：

public class AccessTokenAuthorizationHeader
{
    public string TokenValue { get; set; }
}

这是一个简单的模型绑定器，它将从标头中检索访问令牌：

public class AuthorizationHeaderBinder : IModelBinder
{
    const string DEFAULT_ACCESS_TOKEN_AUTH_HEADER_PREFIX = "accessToken";
    public Task BindModelAsync(ModelBindingContext bindingContext)
    {
        if (bindingContext == null) { throw new ArgumentNullException(nameof(bindingContext)); }

        var modelName = bindingContext.BinderModelName;
        if (string.IsNullOrEmpty(modelName)) { modelName = DEFAULT_ACCESS_TOKEN_AUTH_HEADER_PREFIX; }

        var authorization = bindingContext.HttpContext.Request.Headers["Authorization"].FirstOrDefault();
        if (String.IsNullOrWhiteSpace(authorization)) {
            return Task.CompletedTask;
        }
        if (!authorization.StartsWith(modelName, StringComparison.OrdinalIgnoreCase)) {
            return Task.CompletedTask;
        }
        var token = authorization.Substring(modelName.Length).Trim();

        bindingContext.Result = ModelBindingResult.Success(new AccessTokenAuthorizationHeader() {
            TokenValue =token,
        });
        return Task.CompletedTask;
    }
}

最后，用ModelBinderAttribute装饰之前的AccessTokenAuthorizationHeader：

[ModelBinder(BinderType =typeof(AuthorizationHeaderBinder))]
public class AccessTokenAuthorizationHeader
{
    public string TokenValue { get; set; }
}

现在我们可以自动绑定了：

[HttpGet("Account3")]
public async Task<ActionResult> GetAccount3Async(AccessTokenAuthorizationHeader accessToken) {
    var result =new JsonResult(accessToken?.TokenValue);
    return result;
}

让我们用请求集来测试它：

GET https://localhost:44323/api/values/account3 HTTP/1.1
Authorization : accessToken 111111

响应将是：

HTTP/1.1 200 OK
Transfer-Encoding: chunked
Content-Type: application/json; charset=utf-8
Server: Kestrel
X-SourceFiles: =?UTF-8?B?RDpccmVwb3J0XDIwMThcOVw5LTEzXFNPLkF1dGhvcml6YXRpb25IZWFkZXJcQXBwXEFwcFxhcGlcdmFsdWVzXGFjY291bnQz?=
X-Powered-By: ASP.NET
Date: Thu, 13 Sep 2018 01:54:25 GMT

"111111"