.net Core如何对静态文件的访问进行鉴权操作？

之前给公司开发了一个文件管理服务，最基本的功能就是文件的上传下载，以及更新删除、预览；负责公司各个子系统的相关附件的管理，所有的接口都通过AOP来进行身份拦截认证了，但是在进行预览的时候，因为采用的是生成一个全新的预览文件，然后直接返回预览文件的Url通过浏览器查看的这种模式，于是需要系统开放静态文件的预览功能，这个很简单：

 app.UseStaticFiles(new StaticFileOptions()
            {
                ContentTypeProvider = provider,
                OnPrepareResponse = ctx =>
                {
                    ctx.Context.Response.Headers.Append("Cache-Control", "public,max-age=600");
                }
            });
            app.UseFileServer(new FileServerOptions()
            {
                FileProvider = new PhysicalFileProvider
                (
                    Path.Combine(Directory.GetCurrentDirectory(),"wwwroot","FileFactory")),   //实际目录地址
                    RequestPath = new Microsoft.AspNetCore.Http.PathString("/文件中心"),  //用户访问地址
                    EnableDirectoryBrowsing = true                                     //开启目录浏览
            });

在startup的Configure方法内加入上述代码即可完成这个操作。

然后如果仅仅是这样的话，不管那个用户，只要知道了这个链接，其实就相当于获得了整个文件服务系统的文件查看权限了，这肯定是违背数据安全性原则的，所以需要有一个中间件来对用户的静态文件访问权限进行过滤。

中间件的代码很简单

 public class AuthorizeStaticFilesMiddleware
    {
        private readonly RequestDelegate _next;

        public AuthorizeStaticFilesMiddleware(RequestDelegate next)
        {
            _next = next;
        }

        public async Task Invoke(HttpContext context)
        {
            if (new IdentityCheck().IdentityCheckMethod(context))
                await _next(context);
            else
                await context.Response.WriteAsync("您无权查看该文件",Encoding.UTF8);
        }
    }

这里的判断自己去实现，一般实现单点登录的都是通过token，可以通过token的相关安全性判断权限的合理性。

直接在startup的Configure方法里面使用中间件即可：

            app.UseWhen(
                c => c.Request.Path.Value.Contains("文件中心"),
                _ => _.UseMiddleware<AuthorizeStaticFilesMiddleware>());

至此，则完成了对静态文件的数据验证功能。

ps：当然这里是有一些问题的，比如某个本来不需要加验证的api也包含拦截关键字，那么会被直接拒掉，这种情况应该和后端开发协调，尽量避免使用这种Api。