众所周知,在webapi中,如果有个接口需要权限,一般会将带权限的字段塞进header中。但是,在带权限的文档下载接口中,无论是用post,还是get方式,我们无法设置header头信息。苦恼呀?别急,接下来我们慢慢拆解并分析步骤。
带权限的文档下载接口一般分为3个步骤:
1、验证权限;
2、查找数据并生成文档或文档流;
3、将文档写入response的流中并返回到客户端。
第一个步骤,我们就不详谈了,可以使用验证权限的中间件,例如identity4,去做权限验证的功能。
关键在于第二和第三个步骤。
我们可以将第二个步骤和第三个步骤在接口中分开,分为两个接口来完成一个文档的下载功能。
第二个步骤的详细方法如下:
1、前端使用post方式,将需要下载的参数传到后端,并将带权限的字段塞进header中;
2、后端收到消息后,首先判断权限,即当前用户是否有权限下载该文档或数据;
3、权限验证不通过,则返回错误到前端;
4、权限验证通过后,则查询数据并生成文档到磁盘中。如果是直接下载文档,则可以省略这一步;;
5、获取文档的文件名称和当前的时间等参数,通过一个密钥进行对称加密,并将加密后的字符串返回到前端。
解惑第二个步骤中的方法:
1、使用Post方式传输,并设置header头信息;
2、为何需要将当前时间也一起加密呢?我们可以通过该时间来判断url是否过期。过期时间可以自定义,一般设置为30秒到120秒之间。
3、被加密的文件名称可以是相对路径,也可以是一个不带路径的文件名称,这样可以隐藏文件的真实路径。当我们需要在后端用到该文件时,才给其加上绝对路径。
第三个步骤的详细方法如下:
1、前端将第二个步骤的返回的加密字符串通过post或者get方式传到后端;
2、后端通过密钥解析后得到文件名和一个时间;
3、通过当前时间减去解密后得到的时间,判断当前加密串是否过期;
4、如果已过期,则返回错误信息到前端;
5、如果未过期,则加载文档流,并返回到前端。
通过以上方法,我们在webapi中就实现了带权限的文档下载操作。