使用 Hangfire 儀表板時使用會話進行身份驗證

Question

我想使用 Session 屬性 (Session["isAdmin"]) 來確定用戶是否應該能夠查看 Hangfire 儀表板。

問題是當我使用

HttpContext.Current.Session

這是空的 - 盡管我在我的其他頁面上使用了這個屬性，其中有數據。
我正在努力遵循以下代碼片段。
我想讓管理員角色查看頁面。

public class AuthorizationFilter : IDashboardAuthorizationFilter
    {
        public bool Authorize(DashboardContext context)
        {
            var session = HttpContext.Current.Session;

            if (session == null || 
                session["username"] == null ||
                FindUserRole(session["username"].ToString()) != 
                 "ADMIN")
            {
                return false;
            }
            return true;
        }
    }

有沒有其他方法可以更輕松地做到這一點？

Answer 1

要獲取上下文，您應該使用提供的參數。 這樣的事情應該是你所追求的：

    public class HangfireAuthorization : IDashboardAuthorizationFilter
    {
        public bool Authorize([NotNull] DashboardContext currentContext)
        {
           return Boolean.Parse(currentContext.GetHttpContext().Session.GetString("isAdmin"));
        }
    }

Answer 2

你可以這樣使用。 不要忘記會話的到期時間有限。

public class HangfireAuthorizationFilter : IDashboardAuthorizationFilter
{
    public object session;

    public bool Authorize(DashboardContext context)
    {
        var sessionToCheck = System.Web.HttpContext.Current.Session?[YourSessionKeyHere];

        if (sessionToCheck != null)
        {
            session= sessionToCheck;

            return true;
        }
        else if (session != null)
        {
            return true;
        }
        else
        {
            return false;
        }
    }
}

Answer 3

接受的答案適用於 .NET Core，但是如果您使用的是 .NET Framework，則GetHttpContext()不存在。 我確實從這個 GitHub 問題中找到了一個有效的答案：

https://github.com/HangfireIO/Hangfire/issues/978

如果您注冊了IHttpModule並將會話狀態設置為 required

context.SetSessionStateBehavior(SessionStateBehavior.Required);

然后， HttpContext.Current.Session在HangfireAuthorizationFilter不會為空