اندازهی قلم متن
تخمین مدت زمان مطالعهی مطلب:
هفت دقیقه
فرض کنید قصد دارید خاصیت Id مدل مورد استفادهی در یک View را رمزنگاری کنید تا در سمت کلاینت به سادگی قابل تغییر نباشد. همچنین این Id زمانیکه به سمت سرور ارسال شد، به صورت خودکار رمزگشایی شود و بدون نیاز به تغییرات خاصی در کدهای متداول اکشن متدها، اطلاعات نهایی آن قابل استفاده باشند. برای این منظور در ASP.NET Core میتوان یک Action Result رمزنگاری کننده و یک Model binder رمزگشایی کننده را طراحی کرد.
نیاز به علامتگذاری خواصی که باید رمزنگاری شوند
میخواهیم خاصیت یا خاصیتهای مشخصی، از یک مدل را رمزنگاری شده به سمت کلاینت ارسال کنیم. به همین جهت ویژگی خالی زیر را به پروژه اضافه میکنیم تا از آن تنها جهت علامتگذاری این نوع خواص، استفاده کنیم:
رمزنگاری خودکار مدل خروجی از یک اکشن متد
در ادامه کدهای کامل یک ResultFilter را مشاهده میکنید که مدل ارسالی به سمت کلاینت را یافته و سپس خواصی از آنرا که با ویژگی EncryptedField مزین شدهاند، به صورت خودکار رمزنگاری میکند:
توضیحات:
- در اینجا برای رمزنگاری از IProtectionProviderService استفاده شدهاست که در بستهی DNTCommon.Web.Core تعریف شدهاست. این سرویس در پشت صحنه از سیستم Data Protection استفاده میکند.
- سپس رخداد OnResultExecuting، بازنویسی شدهاست تا بتوان به مدل ارسالی به سمت کلاینت، پیش از ارسال نهایی آن، دسترسی یافت.
- context.Result میتواند از نوع PageResult صفحات Razor باشد و یا از نوع ViewResult مدلهای متداول Viewهای پروژههای MVC و یا از نوع ObjectResult که مرتبط است به پروژههای Web Api بدون هیچ نوع View سمت سروری. هر کدام از این نوعها، دارای خاصیت مدل هستند که در اینجا قصد بررسی آنرا داریم.
- پس از مشخص شدن شیء Model، اکنون حلقهای را بر روی خواص آن تشکیل داده و خواصی را که دارای ویژگی EncryptedFieldAttribute هستند، یافته و آنها را رمزنگاری میکنیم.
روش اعمال این فیلتر باید به صورت سراسری باشد:
از این پس مدلهای تمام خروجیهای ارسالی به سمت کلاینت، بررسی شده و در صورت لزوم، خواص آنها رمزنگاری میشود.
رمزگشایی خودکار مدل دریافتی از سمت کلاینت
تا اینجا موفق شدیم خواص ویژهای از مدلها را رمزنگاری کنیم. مرحلهی بعد، رمزگشایی خودکار این اطلاعات در سمت سرور است. به همین جهت نیاز داریم تا در سیستم Model Binding پیشفرض ASP.NET Core مداخله کرده و منطق سفارشی خود را تزریق کنیم. بنابراین در ابتدا یک IModelBinderProvider سفارشی را تهیه میکنیم تا در صورتیکه خاصیت جاری در حال بررسی توسط سیستم Model Binding دارای ویژگی EncryptedFieldAttribute بود، از EncryptedFieldModelBinder برای پردازش آن استفاده کند:
که این EncryptedFieldModelBinder به صورت زیر تعریف میشود:
در اینجا مقدار ارسالی به سمت سرور به صورت یک رشته دریافت شده و سپس رمزگشایی میشود و بجای مقدار فعلی خاصیت، مورد استفاده قرار میگیرد. به این ترتیب دیگر نیازی به تغییر کدهای اکشن متدها برای رمزگشایی اطلاعات نیست.
پس از این تعاریف نیاز است EncryptedFieldModelBinderProvider را به صورت زیر به سیستم معرفی کرد:
یک مثال
فرض کنید مدلهای زیر تعریف شدهاند:
که بعضی از خواص آنها با ویژگی EncryptedField مزین شدهاند.
اکنون کنترلر زیر زمانیکه رندر شود، View متناظر با اکشن متد Index آن، یکسری لینک را به اکشن متد Details، جهت مشاهدهی جزئیات محصول، تولید میکند. همچنین اکشن متد Products آن هم فقط یک خروجی JSON را به همراه دارد:
کدهای View اکشن متد Index به صورت زیر است:
در ادامه اگر برنامه را اجرا کنیم، میتوان مشاهده کرد که تمام asp-route-idها که به خاصیت ویژهی Id اشاره میکنند، به صورت خودکار رمزنگاری شدهاند:
و اگر یکی از لینکها را درخواست کنیم، خروجی model.Id، به صورت معمولی و رمزگشایی شدهای مشاهده میشود (این خروجی یک رشتهاست که هیچ ویژگی خاصی به آن اعمال نشدهاست. به همین جهت، اینبار این خروجی معمولی مشاهده میشود). هدف از اکشن متد Details، نمایش رمزگشایی خودکار اطلاعات است.
و یا اگر اکشن متدی که همانند اکشن متدهای Web API، فقط یک شیء JSON را باز میگرداند، فراخوانی کنیم نیز میتوان به خروجی رمزنگاری شدهی زیر رسید:
کدهای کامل این مطلب را از اینجا میتوانید دریافت کنید: EncryptedModelBinder.zip
نیاز به علامتگذاری خواصی که باید رمزنگاری شوند
میخواهیم خاصیت یا خاصیتهای مشخصی، از یک مدل را رمزنگاری شده به سمت کلاینت ارسال کنیم. به همین جهت ویژگی خالی زیر را به پروژه اضافه میکنیم تا از آن تنها جهت علامتگذاری این نوع خواص، استفاده کنیم:
using System;
namespace EncryptedModelBinder.Utils
{
[AttributeUsage(AttributeTargets.Property, AllowMultiple = false)]
public class EncryptedFieldAttribute : Attribute { }
} رمزنگاری خودکار مدل خروجی از یک اکشن متد
در ادامه کدهای کامل یک ResultFilter را مشاهده میکنید که مدل ارسالی به سمت کلاینت را یافته و سپس خواصی از آنرا که با ویژگی EncryptedField مزین شدهاند، به صورت خودکار رمزنگاری میکند:
namespace EncryptedModelBinder.Utils
{
public class EncryptedFieldResultFilter : ResultFilterAttribute
{
private readonly IProtectionProviderService _protectionProviderService;
private readonly ILogger<EncryptedFieldResultFilter> _logger;
private readonly ConcurrentDictionary<Type, bool> _modelsWithEncryptedFieldAttributes = new ConcurrentDictionary<Type, bool>();
public EncryptedFieldResultFilter(
IProtectionProviderService protectionProviderService,
ILogger<EncryptedFieldResultFilter> logger)
{
_protectionProviderService = protectionProviderService;
_logger = logger;
}
public override void OnResultExecuting(ResultExecutingContext context)
{
var model = context.Result switch
{
PageResult pageResult => pageResult.Model, // For Razor pages
ViewResult viewResult => viewResult.Model, // For MVC Views
ObjectResult objectResult => objectResult.Value, // For Web API results
_ => null
};
if (model is null)
{
return;
}
if (typeof(IEnumerable).IsAssignableFrom(model.GetType()))
{
foreach (var item in model as IEnumerable)
{
encryptProperties(item);
}
}
else
{
encryptProperties(model);
}
}
private void encryptProperties(object model)
{
var modelType = model.GetType();
if (_modelsWithEncryptedFieldAttributes.TryGetValue(modelType, out var hasEncryptedFieldAttribute)
&& !hasEncryptedFieldAttribute)
{
return;
}
foreach (var property in modelType.GetProperties())
{
var attribute = property.GetCustomAttributes(typeof(EncryptedFieldAttribute), false).FirstOrDefault();
if (attribute == null)
{
continue;
}
hasEncryptedFieldAttribute = true;
var value = property.GetValue(model);
if (value is null)
{
continue;
}
if (value.GetType() != typeof(string))
{
_logger.LogWarning($"[EncryptedField] should be applied to `string` proprties, But type of `{property.DeclaringType}.{property.Name}` is `{property.PropertyType}`.");
continue;
}
var encryptedData = _protectionProviderService.Encrypt(value.ToString());
property.SetValue(model, encryptedData);
}
_modelsWithEncryptedFieldAttributes.TryAdd(modelType, hasEncryptedFieldAttribute);
}
}
} - در اینجا برای رمزنگاری از IProtectionProviderService استفاده شدهاست که در بستهی DNTCommon.Web.Core تعریف شدهاست. این سرویس در پشت صحنه از سیستم Data Protection استفاده میکند.
- سپس رخداد OnResultExecuting، بازنویسی شدهاست تا بتوان به مدل ارسالی به سمت کلاینت، پیش از ارسال نهایی آن، دسترسی یافت.
- context.Result میتواند از نوع PageResult صفحات Razor باشد و یا از نوع ViewResult مدلهای متداول Viewهای پروژههای MVC و یا از نوع ObjectResult که مرتبط است به پروژههای Web Api بدون هیچ نوع View سمت سروری. هر کدام از این نوعها، دارای خاصیت مدل هستند که در اینجا قصد بررسی آنرا داریم.
- پس از مشخص شدن شیء Model، اکنون حلقهای را بر روی خواص آن تشکیل داده و خواصی را که دارای ویژگی EncryptedFieldAttribute هستند، یافته و آنها را رمزنگاری میکنیم.
روش اعمال این فیلتر باید به صورت سراسری باشد:
namespace EncryptedModelBinder
{
public class Startup
{
public void ConfigureServices(IServiceCollection services)
{
services.AddDNTCommonWeb();
services.AddControllersWithViews(options =>
{
options.Filters.Add(typeof(EncryptedFieldResultFilter));
});
} رمزگشایی خودکار مدل دریافتی از سمت کلاینت
تا اینجا موفق شدیم خواص ویژهای از مدلها را رمزنگاری کنیم. مرحلهی بعد، رمزگشایی خودکار این اطلاعات در سمت سرور است. به همین جهت نیاز داریم تا در سیستم Model Binding پیشفرض ASP.NET Core مداخله کرده و منطق سفارشی خود را تزریق کنیم. بنابراین در ابتدا یک IModelBinderProvider سفارشی را تهیه میکنیم تا در صورتیکه خاصیت جاری در حال بررسی توسط سیستم Model Binding دارای ویژگی EncryptedFieldAttribute بود، از EncryptedFieldModelBinder برای پردازش آن استفاده کند:
namespace EncryptedModelBinder.Utils
{
public class EncryptedFieldModelBinderProvider : IModelBinderProvider
{
public IModelBinder GetBinder(ModelBinderProviderContext context)
{
if (context == null)
{
throw new ArgumentNullException(nameof(context));
}
if (context.Metadata.IsComplexType)
{
return null;
}
var propName = context.Metadata.PropertyName;
if (string.IsNullOrWhiteSpace(propName))
{
return null;
}
var propInfo = context.Metadata.ContainerType.GetProperty(propName);
if (propInfo == null)
{
return null;
}
var attribute = propInfo.GetCustomAttributes(typeof(EncryptedFieldAttribute), false).FirstOrDefault();
if (attribute == null)
{
return null;
}
return new BinderTypeModelBinder(typeof(EncryptedFieldModelBinder));
}
}
} namespace EncryptedModelBinder.Utils
{
public class EncryptedFieldModelBinder : IModelBinder
{
private readonly IProtectionProviderService _protectionProviderService;
public EncryptedFieldModelBinder(IProtectionProviderService protectionProviderService)
{
_protectionProviderService = protectionProviderService;
}
public Task BindModelAsync(ModelBindingContext bindingContext)
{
if (bindingContext == null)
{
throw new ArgumentNullException(nameof(bindingContext));
}
var logger = bindingContext.HttpContext.RequestServices.GetRequiredService<ILoggerFactory>();
var fallbackBinder = new SimpleTypeModelBinder(bindingContext.ModelType, logger);
var valueProviderResult = bindingContext.ValueProvider.GetValue(bindingContext.ModelName);
if (valueProviderResult == ValueProviderResult.None)
{
return fallbackBinder.BindModelAsync(bindingContext);
}
bindingContext.ModelState.SetModelValue(bindingContext.ModelName, valueProviderResult);
var valueAsString = valueProviderResult.FirstValue;
if (string.IsNullOrWhiteSpace(valueAsString))
{
return fallbackBinder.BindModelAsync(bindingContext);
}
var decryptedResult = _protectionProviderService.Decrypt(valueAsString);
bindingContext.Result = ModelBindingResult.Success(decryptedResult);
return Task.CompletedTask;
}
}
} پس از این تعاریف نیاز است EncryptedFieldModelBinderProvider را به صورت زیر به سیستم معرفی کرد:
namespace EncryptedModelBinder
{
public class Startup
{
public void ConfigureServices(IServiceCollection services)
{
services.AddDNTCommonWeb();
services.AddControllersWithViews(options =>
{
options.ModelBinderProviders.Insert(0, new EncryptedFieldModelBinderProvider());
options.Filters.Add(typeof(EncryptedFieldResultFilter));
});
} یک مثال
فرض کنید مدلهای زیر تعریف شدهاند:
namespace EncryptedModelBinder.Models
{
public class ProductInputModel
{
[EncryptedField]
public string Id { get; set; }
[EncryptedField]
public int Price { get; set; }
public string Name { get; set; }
}
}
namespace EncryptedModelBinder.Models
{
public class ProductViewModel
{
[EncryptedField]
public string Id { get; set; }
[EncryptedField]
public int Price { get; set; }
public string Name { get; set; }
}
} اکنون کنترلر زیر زمانیکه رندر شود، View متناظر با اکشن متد Index آن، یکسری لینک را به اکشن متد Details، جهت مشاهدهی جزئیات محصول، تولید میکند. همچنین اکشن متد Products آن هم فقط یک خروجی JSON را به همراه دارد:
namespace EncryptedModelBinder.Controllers
{
public class HomeController : Controller
{
public IActionResult Index()
{
var model = getProducts();
return View(model);
}
public ActionResult<string> Details(ProductInputModel model)
{
return model.Id;
}
public ActionResult<List<ProductViewModel>> Products()
{
return getProducts();
}
private static List<ProductViewModel> getProducts()
{
return new List<ProductViewModel>
{
new ProductViewModel { Id = "1", Name = "Product 1"},
new ProductViewModel { Id = "2", Name = "Product 2"},
new ProductViewModel { Id = "3", Name = "Product 3"}
};
}
}
} @model List<ProductViewModel>
<h3>Home</h3>
<ul>
@foreach (var item in Model)
{
<li><a asp-action="Details" asp-route-id="@item.Id">@item.Name</a></li>
}
</ul> 
و اگر یکی از لینکها را درخواست کنیم، خروجی model.Id، به صورت معمولی و رمزگشایی شدهای مشاهده میشود (این خروجی یک رشتهاست که هیچ ویژگی خاصی به آن اعمال نشدهاست. به همین جهت، اینبار این خروجی معمولی مشاهده میشود). هدف از اکشن متد Details، نمایش رمزگشایی خودکار اطلاعات است.
و یا اگر اکشن متدی که همانند اکشن متدهای Web API، فقط یک شیء JSON را باز میگرداند، فراخوانی کنیم نیز میتوان به خروجی رمزنگاری شدهی زیر رسید:
کدهای کامل این مطلب را از اینجا میتوانید دریافت کنید: EncryptedModelBinder.zip
