Блог

У меня есть следующий класс фильтров страниц razor:

 public class TwoFactorPageFilter : IAsyncPageFilter
{
    private readonly UserManager<IdentityUser> _userManager;
    private readonly ApplicationSession _session;
    private HttpContext _httpContext;

    public TwoFactorPageFilter(UserManager<IdentityUser> userManager, ApplicationSession session)
    {
        _userManager = userManager;
        _session     = session;
    }

    public async Task OnPageHandlerSelectionAsync(PageHandlerSelectedContext pageContext)
    {
        await Task.CompletedTask;
    }

    public async Task OnPageHandlerExecutionAsync(PageHandlerExecutingContext pageContext, PageHandlerExecutionDelegate next)
    {
        _httpContext = pageContext.HttpContext;

        await InitTwoFactorLock();

        if ( RequestRequires2fa() )
        {
            SavePostActionState(pageContext);
            _httpContext.Response.Redirect("/Identity/Account/LoginWith2fa");
        }
        else if ( _session.Recent2fa )
        {
            // HELP: how to call original razor page handler here, using properties
            // saved to _session, after user successfully verified using 2FA?
        }

        await next.Invoke();
    }

    private async Task InitTwoFactorLock()
    {
        IdentityUser user = await _userManager.GetUserAsync(_httpContext.User);
        // initialize the 2FA lock default value based on if the user enabled/disabled 2FA login
        _session.TwoFactorLockOn = user is not null ? await _userManager.GetTwoFactorEnabledAsync(user) : false;
    }

    private bool RequestRequires2fa()
    {
        // only POST requests would ever need to be verified
        if ( _httpContext.Request.Method != "POST" ) return false;

        // don't bother if user is not even authenticated
        if ( ! _httpContext.User.Identity.IsAuthenticated) return false;

        // if the 2FA lock session variable is turned off, then do not require 2FA verification
        if ( ! _session.TwoFactorLockOn ) return false;

        return RouteNeeds2fa();
    }

    private bool RouteNeeds2fa()
    {
        var paths = new List<string> {"/Account/Change", "/Account/Remove", "/Security/Update",};
        return paths.Contains(_httpContext.Request.Path);
    }

    private void SavePostActionState(PageHandlerExecutingContext pageContext)
    {
        // save all relevant data to session state
        _session.OriginalHandlerMethod = pageContext.HandlerMethod;
        _session.OriginalModelState    = pageContext.ModelState;
        // HELP: what else do I need to save to the session state here?
    }

}
 

Идея состоит в том, чтобы перенаправлять POST запросы, попадающие на определенные маршруты/конечные точки, на страницу проверки 2FA вместо этого для повышения безопасности. Часть перенаправления в настоящее время работает достаточно хорошо.

Я бы хотел, чтобы это сработало, чтобы сохранить состояние обработчика запроса (т. Е. SavePostActionState ) в _session (реализацию ISession ), когда поступает исходный POST запрос и перенаправляется на /Identity/Account/LoginWith2fa конечную точку. Затем, когда пользователь успешно пройдет проверку с помощью своего аутентификатора 2FA, _session.Recent2fa true в обработчике LoginWith2fa страницы будет установлено значение, и я получу сохраненную информацию о состоянии обработчика для исходного запроса, отправленного пользователем, и выполню это действие.

Но , учитывая свойства/объекты, доступные мне через PageHandlerExecutedContext , такие как HandlerInstance , HandlerMethod , ModelState Result , и т. Д. Я все еще не уверен в том, как их составить, чтобы «повторно вызвать» исходный запрос.