web-dev-qa-db-fra.com

Comment puis-je servir des fichiers statiques uniquement aux utilisateurs autorisés?

J'ai une collection de feuilles de calcul Excel que j'aimerais utiliser dans l'application Web ASP.NET 5 uniquement pour les utilisateurs autorisés.

  1. Où devrais-je stocker les fichiers? Je suppose dans wwwroot (par exemple, wwwroot/files).
  2. Si je suis dans wwwroot, comment puis-je autoriser l'accès uniquement aux utilisateurs autorisés? (J'aimerais les utiliser comme un [Authorize] FileResult à partir du contrôleur, mais cela laisse tout de même les fichiers ouverts pour un accès direct via une URL, je crois.)
  3. Comment référencer un emplacement dans wwwroot via mon action FileResult dans le contrôleur?

Merci beaucoup!

c#asp.net-coreasp.net-core-staticfile
17
Gabe

Oui, ils devraient aller dans wwwroot. Il n'existe actuellement aucun moyen intégré pour sécuriser les répertoires wwwroot. Mais créer un module de middleware pour le réaliser est assez simple. Il existe un tutoriel facile à suivre ici .

Si vous n'êtes pas habitué au développement de middleware, j'ai posté un projet GitHub qui montre comment créer un middleware en trois étapes simples. Vous pouvez télécharger le projet ici

Vous n'avez pas besoin d'un contrôleur pour accéder aux fichiers statiques.

19
Clint B

dans .net core, créez un répertoire dédié www au même niveau que wwwroot et utilisez le code suivant:

public HomeController(IHostingEnvironment hostingEnvironment)
{
    _hostingEnvironment = hostingEnvironment;
}

[Authorize(Roles = "SomeRole")]
public IActionResult Performance()
{
    return PhysicalFile(Path.Combine(_hostingEnvironment.ContentRootPath,
                                     "www", "MyStaticFile.pdf"), "application/pdf");
}

Basé sur la réponse suivante (pour .netCore): autorisation de fichier statique

7
Guy

Pour vérifier l'authentification lors de la récupération du fichier:

app.UseStaticFiles(new StaticFileOptions()
{
    OnPrepareResponse = (context) =>
    {
        context.Context.User.Identity.IsAuthenticated
            && context.Context.Request.Path.StartsWithSegments("/excelfiles"))
        {
            throw new Exception("Not authenticated");
        }
    }
});
1
john lee

C'est un exemple très simple, mais il peut être modifié pour vérifier des rôles spécifiques et le code peut être déplacé hors de Startup.cs pour plus de flexibilité.

app.Use(async (context, next) =>
               {
                   if (!context.User.Identity.IsAuthenticated
                       && context.Request.Path.StartsWithSegments("/excelfiles"))
                   {
                       throw new Exception("Not authenticated");
                   }
                   await next.Invoke();
               });
1
Pragmatic Coder

Si vous avez un formulaire de connexion (Login.html), une solution simple consiste à rediriger l'utilisateur vers la page de connexion si l'utilisateur n'est pas authentifié et demande une ressource protégée (fichier sous/dossier protégé). Dans Startup.cs, dans la méthode Configure, insérez ce code:

app.Use(async (context, next) =>
{
    if (!context.User.Identity.IsAuthenticated && context.Request.Path.StartsWithSegments("/protected"))
    {
        context.Response.Redirect("/Login.html");
        return;
    }
    await next.Invoke();
});
1
Renzo Ciot