我正在开发一个使用会话、身份验证和授权的ASP.NET代码库.
它们按以下顺序进行初始化:
app.UseSession();
app.UseAuthentication();
app.UseAuthorization();
Middleware Order文档显示app.UseSession() after其他两个,但文档后来说:
会话中间件(UseSession)建立和维护会话状态.如果应用程序使用会话状态,则为call Session Middleware after Cookie Policy Middleware and before MVC Middleware.
Emphasis mine.个
我们的应用程序使用自定义身份验证码来处理不同的流,其中之一初始化会话内的一些数据.
因此,将app.UseSession()方法after放置为身份验证/授权中间件会导致应用程序在该流被触发时崩溃.
在其他两个之前离开app.UseSession()个是安全的吗?
UseAuthentication和UseAuthorization都不是Cookie策略中间件,例如添加UseCookiePolicy(参见EU General Data Protection Regulation (GDPR) support in ASP.NET Core).
Session and state management in ASP.NET Core号文件提到了关于订单的以下几点:
中间件的顺序很重要.在
UseRouting之后、MapRazorPages和MapDefaultControllerRoute之前呼叫UseSession.请参见Middleware Ordering.
您已经链接的订购文档和我在那里找到的适用于这种情况的唯一附加订单说明如下:
UseCors、UseAuthentication和UseAuthorization必须按显示的顺序出现.
根据文档和快速代码窥探会话中间件,应该可以在进行身份验证之前使用它:
app.UseRouting();
app.UseSession();
app.UseAuthentication();
app.UseAuthorization();