ASP.NET Core 2.1 : 十四.靜態文件與訪問受權、防盜鏈
個人網站的圖片不想被公開瀏覽、下載、盜鏈怎麼辦?本文主要經過解讀一下ASP.NET Core對於靜態文件的處理方式的相關源碼,來看一下爲何是wwwroot文件夾,如何修改或新增一個靜態文件夾,爲何新增的文件夾名字不會被當作controller處理?訪問受權怎麼作?(ASP.NET Core 系列目錄)css
1、靜態文件夾
所謂靜態文件,直觀的說就是wwwroot目錄下的一些直接提供給訪問者的文件,例如css,圖片、js文件等。 固然這個wwwroot目錄是默認目錄,html
這個是在Main->CreateDefaultBuilder的時候作了默認設置。web
public static class HostingEnvironmentExtensions { public static void Initialize(this IHostingEnvironment hostingEnvironment, string contentRootPath, WebHostOptions options) { //省略部分代碼 var webRoot = options.WebRoot; if (webRoot == null) { // Default to /wwwroot if it exists. var wwwroot = Path.Combine(hostingEnvironment.ContentRootPath, "wwwroot"); if (Directory.Exists(wwwroot)) { hostingEnvironment.WebRootPath = wwwroot; } } else { hostingEnvironment.WebRootPath = Path.Combine(hostingEnvironment.ContentRootPath, webRoot); } //省略部分代碼 } }
2、處理方式
前文關於中間件部分說過,在Startup文件中,有一個 app.UseStaticFiles() 方法的調用,這裏是將靜態文件的處理中間件做爲了「處理管道」的一部分,api
而且這個中間件是寫在 app.UseMvc 以前, 因此當一個請求進來以後, 會先判斷是否爲靜態文件的請求,若是是,則在此作了請求處理,這時候請求會發生短路,不會進入後面的mvc中間件處理步驟。mvc
public void Configure(IApplicationBuilder app, IHostingEnvironment env) { if (env.IsDevelopment()) { app.UseDeveloperExceptionPage(); } else { app.UseExceptionHandler("/Home/Error"); } app.UseStaticFiles(); app.UseCookiePolicy(); app.UseAuthentication(); app.UseMvc(routes => { routes.MapRoute( name: "default", template: "{controller=Home}/{action=Index}/{id?}"); }); }
3、新增靜態文件目錄
除了這個默認的wwwroot目錄,須要新增一個目錄來做爲靜態文件的目錄,能夠Startup文件的 app.UseStaticFiles() 下面繼續use,例以下面代碼app
app.UseFileServer(new FileServerOptions { FileProvider = new PhysicalFileProvider( Path.Combine(Directory.GetCurrentDirectory(), "NewFilesPath")), RequestPath = "/NewFiles" });
含義就是指定應用程序目錄中的一個名爲「NewFilesPath」的文件夾,將它也設置問靜態文件目錄, 而這個目錄的訪問路徑爲"/NewFiles"。async
例如文件夾"NewFilesPath"下面有一個test.jpg, 那麼咱們能夠經過這樣的地址來訪問它:http://localhost:64237/NewFiles/test.jpg。ide
4、中間件的處理方式
靜態文件的處理中間件爲StaticFileMiddleware,主要的處理方法 Invoke 代碼以下網站
public async Task Invoke(HttpContext context) { var fileContext = new StaticFileContext(context, _options, _matchUrl, _logger, _fileProvider, _contentTypeProvider); if (!fileContext.ValidateMethod()) { _logger.LogRequestMethodNotSupported(context.Request.Method); } else if (!fileContext.ValidatePath()) { _logger.LogPathMismatch(fileContext.SubPath); } else if (!fileContext.LookupContentType()) { _logger.LogFileTypeNotSupported(fileContext.SubPath); } else if (!fileContext.LookupFileInfo()) { _logger.LogFileNotFound(fileContext.SubPath); } else { // If we get here, we can try to serve the file fileContext.ComprehendRequestHeaders(); switch (fileContext.GetPreconditionState()) { case StaticFileContext.PreconditionState.Unspecified: case StaticFileContext.PreconditionState.ShouldProcess: if (fileContext.IsHeadMethod) { await fileContext.SendStatusAsync(Constants.Status200Ok); return; } try { if (fileContext.IsRangeRequest) { await fileContext.SendRangeAsync(); return; } await fileContext.SendAsync(); _logger.LogFileServed(fileContext.SubPath, fileContext.PhysicalPath); return; } catch (FileNotFoundException) { context.Response.Clear(); } break; case StaticFileContext.PreconditionState.NotModified: _logger.LogPathNotModified(fileContext.SubPath); await fileContext.SendStatusAsync(Constants.Status304NotModified); return; case StaticFileContext.PreconditionState.PreconditionFailed: _logger.LogPreconditionFailed(fileContext.SubPath); await fileContext.SendStatusAsync(Constants.Status412PreconditionFailed); return; default: var exception = new NotImplementedException(fileContext.GetPreconditionState().ToString()); Debug.Fail(exception.ToString()); throw exception; } } await _next(context); }
當HttpContext進入此中間件後會嘗試封裝成StaticFileContext, 而後對其逐步判斷,例如請求的URL是否與設置的靜態目錄一致, 判斷文件是否存在,判斷文件類型等,ui
若符合要求 ,會進一步判斷文件是否有修改等。
5、靜態文件的受權管理
默認狀況下,靜態文件是不須要受權,能夠公開訪問的。
由於即便採用了受權, app.UseAuthentication(); 通常也是寫在 app.UseStaticFiles() 後面的,那麼若是咱們想對其進行受權管理,首先想到能夠改寫 StaticFileMiddleware 這個中間件,
在其中添加一些自定義的判斷條件,但貌似不夠友好。並且這裏只能作一些大類的判斷,好比請求的IP地址是否在容許範圍內這樣的還行,若是要根據登陸用戶的權限來判斷(好比用戶只能看到本身上傳的圖片)就不行了,
由於權限的判斷寫在這個中間件以後。因此能夠經過Filter的方式來處理,首先能夠在應用目錄中新建一個"images"文件夾, 而這時就不要把它設置爲靜態文件目錄了,這樣這個"images"目錄的文件默認狀況下是不容許訪問的,
而後經過Controller返回文件的方式來處理請求,以下代碼所示
[Route("api/[controller]")] [AuthorizeFilter] public class FileController : Controller { [HttpGet("{name}")] public FileResult Get(string name) { var file = Path.Combine(Directory.GetCurrentDirectory(), "images", name); return PhysicalFile(file, "application/octet-stream"); } }
在AuthorizeFilter中進行相關判斷,代碼以下
public class AuthorizeFilter: ActionFilterAttribute { public override void OnActionExecuting(ActionExecutingContext context) { base.OnActionExecuting(context); if (context.RouteData.Values["controller"].ToString().ToLower().Equals("file")) { bool isAllow = false;//在此進行一系列訪問權限驗證,若是失敗,返回一個默認圖片,例如logo或不容許訪問的提示圖片 if (!isAllow) { var file = Path.Combine(Directory.GetCurrentDirectory(), "images", "default.png"); context.Result = new PhysicalFileResult(file, "application/octet-stream"); } } } }
- 1. 靜態文件過時緩存、Nginx防盜鏈、訪問控制
- 2. ASP.NET全局文件與防盜鏈
- 3. ASP.NET防盜鏈
- 4. CentOS7 Nginx配置--靜態文件過時時間、防盜鏈、訪問控制
- 5. 靜態文件過時緩存、Nginx防盜鏈、訪問控制1/2/3
- 6. nginx訪問日誌/日誌切割/靜態文件過時時間/防盜鏈
- 7. 關於防盜鏈與跨域訪問
- 8. (5)ASP.NET Core 中的靜態文件
- 9. ASP.NET Core 中的靜態文件
- 10. ASP.NET Core MVC 靜態文件配置
- 更多相關文章...
- • Rust 文件與 IO - RUST 教程
- • Swift 訪問控制 - Swift 教程
- • 使用阿里雲OSS+CDN部署前端頁面與加速靜態資源
- • IntelliJ IDEA中SpringBoot properties文件不能自動提示問題解決
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. Duang!超快Wi-Fi來襲
- 2. 機器學習-補充03 神經網絡之**函數(Activation Function)
- 3. git上開源maven項目部署 多module maven項目(多module maven+redis+tomcat+mysql)後臺部署流程學習記錄
- 4. ecliple-tomcat部署maven項目方式之一
- 5. eclipse新導入的項目經常可以看到「XX cannot be resolved to a type」的報錯信息
- 6. Spark RDD的依賴於DAG的工作原理
- 7. VMware安裝CentOS-8教程詳解
- 8. YDOOK:Java 項目 Spring 項目導入基本四大 jar 包 導入依賴,怎樣在 IDEA 的項目結構中導入 jar 包 導入依賴
- 9. 簡單方法使得putty(windows10上)可以免密登錄樹莓派
- 10. idea怎麼用本地maven