ASP.NET Core Middleware Pipeline: Derinlemesine Rehber
# ASP.NET Core Middleware Derinlemesine Inceleme
Middleware, her ASP.NET Core uygulamasinin omurgasidir. Uygulamaniza gelen her HTTP istegi, endpoint'e ulasmadan once bir middleware zincirine girer ve yanit ayni zincirden ters sirada geri doner. Bu pipeline'i anlamak secimlik bir konu degil — kimlik dogrulama, loglama, hata yonetimi ve diger tum kesisen kaygilarin nasil islendigini dogrudan belirler.
Uretim ortamindaki API'lerde middleware siralama hatalari en kafa karistirici bug'larin kaynagi olmustur. CORS middleware'ini authentication'dan sonraya koyarsaniz preflight istekleri 401 ile basa doner. Exception handler'i routing middleware'inden sonra kayit ederseniz, rota eslestirmesi sirasinda firlatilan exception'lari yakalamazsiniz. Bu turden sorunlar birim testlerinde ortaya cikmaz, ancak gercek trafik altinda aci bir sekilde kendini gosterir.
Middleware Pipeline Nasil Calisir
ASP.NET Core middleware pipeline'i, birbirine zincirlenmis bir dizi delegate'ten olusur. Her middleware bileseni `HttpContext` ve zincirdeki bir sonraki middleware'e referans alir. Sonraki delegate'i cagirmadan once is yapabilir, cagirdiktan sonra yapabilir veya her ikisini birden yapabilir. Ayrica sonraki delegate'i hic cagirmama secenegi de vardir — buna kisa devre (short-circuiting) denir.
class=class="code-string">"code-comment">// Pipelineclass="code-string">'in kavramsal modeli
class=class="code-string">"code-comment">// Istek GIRIS yonunde: middleware class="code-number">1 → class="code-number">2 → class="code-number">3 → endpoint
class=class="code-string">"code-comment">// Yanit CIKIS yonunde: middleware class="code-number">3 → class="code-number">2 → class="code-number">1 → istemci
app.Use(async (context, next) =>
{
class=class="code-string">"code-comment">// class="code-number">1. On-isleme: GIRIS yonunde calisir
Console.WriteLine(class="code-string">"Middleware class="code-number">1: Once");
await next(context); class=class="code-string">"code-comment">// Kontrolu sonraki middleware'e devret
class=class="code-string">"code-comment">// class="code-number">2. Son-isleme: CIKIS yonunde calisir
Console.WriteLine(class="code-string">"Middleware class="code-number">1: Sonra");
});Bunu ic ice gecmis matruska bebekleri gibi dusunun. En distaki middleware her seyi sarar, sonraki her middleware kendinden sonrakileri sarar. Istek disindan girer, her katmandan gecer, merkezde endpoint'e ulasilir ve ardindan yanit geriye dogru her katmandan ters sirada gecer.
Bu tasarim her middleware icin iki mudahale noktasi sunar: biri giris yonunde (`await next()` oncesi), digeri cikis yonunde (`await next()` sonrasi). Ornegin bir loglama middleware'i, `next`'i cagirmadan once baslangic zamanini kaydedip, cagirdiktan sonra gecen sureyi hesaplayabilir.
Yerlesik Middleware Siralamasi
`Program.cs` icinde middleware'leri kayit ettiginiz sira, dogrudan yurutme sirasini belirler. Bunu yanlis yapmak, teshisi notoriously zor hatalara yol acar.
Tipik bir uretim API'si icin onerilen siralama:
var builder = WebApplication.CreateBuilder(args);
class=class="code-string">"code-comment">// Servis kayitlari...
var app = builder.Build();
class=class="code-string">"code-comment">// class="code-number">1. Hata yonetimi — en dista, her seyi yakalar
app.UseExceptionHandler();
app.UseStatusCodePages();
class=class="code-string">"code-comment">// class="code-number">2. HSTS ve HTTPS yonlendirme
if (!app.Environment.IsDevelopment())
{
app.UseHsts();
}
app.UseHttpsRedirection();
class=class="code-string">"code-comment">// class="code-number">3. Statik dosyalar (routing oncesi, authclass="code-string">'u atlarlar)
app.UseStaticFiles();
class=class="code-string">"code-comment">// class="code-number">4. Routing — eslesen endpoint'i belirler
app.UseRouting();
class=class="code-string">"code-comment">// class="code-number">5. CORS — routingclass="code-string">'den sonra, auth'dan once
app.UseCors();
class=class="code-string">"code-comment">// class="code-number">6. Authentication — kimsiniz?
app.UseAuthentication();
class=class="code-string">"code-comment">// class="code-number">7. Authorization — izniniz var mi?
app.UseAuthorization();
class=class="code-string">"code-comment">// class="code-number">8. Rate limiting — authclass="code-string">'dan sonra, kullanici bazli limitler icin
app.UseRateLimiter();
class=class="code-string">"code-comment">// class="code-number">9. Yanit onbellekleme/sikistirma
app.UseResponseCaching();
app.UseResponseCompression();
class=class="code-string">"code-comment">// class="code-number">10. Ozel middleware'ler
class=class="code-string">"code-comment">// class="code-number">11. Endpoint yurutme
app.MapControllers();
app.Run();Siralama neden bu kadar onemli? `UseExceptionHandler` ilk sirada olmali ki sonraki tum middleware'lerden gelen exception'lari yakalayabilsin. `UseRouting`, `UseAuthentication`'dan once gelmeli ki authentication middleware'i hangi endpoint'in eslestigini bilsin ve dogru auth politikasini uygulayabilsin. `UseCors` ise routing ile authorization arasinda olmali — CORS routing'den once calisirsa eslesen endpoint'in CORS politikasini belirleyemez, authorization'dan sonra calisirsa preflight istekleri 401 ile reddedilir.
Ozel Middleware Yazmak
`app.Use` ile Satir Ici Middleware
Middleware eklemenin en hizli yolu lambda ile satir icinde yazmaktir. Prototipleme ve basit senaryolar icin uygundur:
app.Use(async (context, next) =>
{
var correlationId = context.Request.Headers[class="code-string">"X-Correlation-Id"].FirstOrDefault()
?? Guid.NewGuid().ToString();
context.Response.Headers[class="code-string">"X-Correlation-Id"] = correlationId;
context.Items[class="code-string">"CorrelationId"] = correlationId;
await next(context);
});Sinif Tabanli Middleware
Basit mantigi asan her durum icin middleware'i kendi sinifina cikarin. ASP.NET Core middleware'i bir konvansiyon izler: `RequestDelegate` alan bir constructor ve `HttpContext` alan bir `InvokeAsync` metodu:
public class CorrelationIdMiddleware
{
private readonly RequestDelegate _next;
private readonly ILogger<CorrelationIdMiddleware> _logger;
public CorrelationIdMiddleware(RequestDelegate next, ILogger<CorrelationIdMiddleware> logger)
{
_next = next;
_logger = logger;
}
public async Task InvokeAsync(HttpContext context)
{
var correlationId = context.Request.Headers[class="code-string">"X-Correlation-Id"].FirstOrDefault()
?? Guid.NewGuid().ToString();
context.Items[class="code-string">"CorrelationId"] = correlationId;
context.Response.OnStarting(() =>
{
context.Response.Headers[class="code-string">"X-Correlation-Id"] = correlationId;
return Task.CompletedTask;
});
using (_logger.BeginScope(new Dictionary<string, object>
{
[class="code-string">"CorrelationId"] = correlationId
}))
{
await _next(context);
}
}
}
class=class="code-string">"code-comment">// Program.cs'de kayit
app.UseMiddleware<CorrelationIdMiddleware>();Ince bir detaya dikkat edin: header'i dogrudan `next`'i cagirmadan once ayarlamak yerine `context.Response.OnStarting` kullaniyorum. Bu, header'in yanit basliklarinin gonderilmesinden hemen once ayarlanmasini garanti eder ve sonraki bir middleware'in basliklarini degistirmesi durumunda sorun cikarilmasini onler.
Konvansiyon Tabanli Uzanti Metodlari
Uretim kalitesinde middleware, temiz kayit icin bir uzanti metodu sunmalidir:
public static class MiddlewareExtensions
{
public static IApplicationBuilder UseCorrelationId(this IApplicationBuilder app)
{
return app.UseMiddleware<CorrelationIdMiddleware>();
}
public static IApplicationBuilder UseRequestTiming(this IApplicationBuilder app)
{
return app.UseMiddleware<RequestTimingMiddleware>();
}
}
class=class="code-string">"code-comment">// Temiz kayit
app.UseCorrelationId();
app.UseRequestTiming();Middleware'de Dependency Injection
Middleware siniflari uygulama baslatilirken bir kez olusturulur, bu da onlari fiilen singleton yapar. Bunun kritik bir sonucu vardir: constructor uzerinden scoped veya transient servisleri enjekte edemezsiniz.
class=class="code-string">"code-comment">// YANLIS — DbContext scoped, middleware singleton
public class KotuMiddleware
{
private readonly RequestDelegate _next;
private readonly AppDbContext _db; class=class="code-string">"code-comment">// Esir bagimliligi!
public KotuMiddleware(RequestDelegate next, AppDbContext db)
{
_next = next;
_db = db; class=class="code-string">"code-comment">// Her istek icin ayni ornek
}
}
class=class="code-string">"code-comment">// DOGRU — scoped servisleri InvokeAsync uzerinden enjekte edin
public class IyiMiddleware
{
private readonly RequestDelegate _next;
public IyiMiddleware(RequestDelegate next)
{
_next = next;
}
public async Task InvokeAsync(HttpContext context, AppDbContext db, IUserService userService)
{
class=class="code-string">"code-comment">// db ve userService her istek icin DI konteynerindan cozumlenir
var user = await userService.GetCurrentUserAsync(context.User);
await _next(context);
}
}`InvokeAsync` metodu metot enjeksiyonunu destekler — ASP.NET Core parametrelerini her istek icin DI konteynerindan cozumler. Constructor'i yalnizca singleton bagimliliklari icin (`RequestDelegate`, `ILogger`, `IOptions
Hata Yonetimi Middleware'i
Yerlesik ProblemDetails (RFC 7807)
.NET 7+, hata yanitlarini RFC 7807 standardina gore birlestiren birinci sinif ProblemDetails entegrasyonu saglar. Her uretim API'sinde kullandigim yaklasim budur:
builder.Services.AddProblemDetails(options =>
{
options.CustomizeProblemDetails = context =>
{
context.ProblemDetails.Extensions[class="code-string">"traceId"] = context.HttpContext.TraceIdentifier;
context.ProblemDetails.Extensions[class="code-string">"instance"] = context.HttpContext.Request.Path;
};
});
app.UseExceptionHandler();
app.UseStatusCodePages();Ozel Hata Yonetimi Middleware'i
Daha fazla kontrol icin, domain exception'larini uygun HTTP yanitlarina eslestiren ozel bir handler yazin:
public class GlobalExceptionMiddleware
{
private readonly RequestDelegate _next;
private readonly ILogger<GlobalExceptionMiddleware> _logger;
public GlobalExceptionMiddleware(RequestDelegate next, ILogger<GlobalExceptionMiddleware> logger)
{
_next = next;
_logger = logger;
}
public async Task InvokeAsync(HttpContext context)
{
try
{
await _next(context);
}
catch (Exception ex)
{
_logger.LogError(ex, class="code-string">"{Method} {Path} icin islenmemis exception",
context.Request.Method, context.Request.Path);
await HandleExceptionAsync(context, ex);
}
}
private static async Task HandleExceptionAsync(HttpContext context, Exception exception)
{
var (statusCode, title) = exception switch
{
ArgumentValidationException => (StatusCodes.Status400BadRequest, class="code-string">"Dogrulama Hatasi"),
NotFoundException => (StatusCodes.Status404NotFound, class="code-string">"Kaynak Bulunamadi"),
ConflictException => (StatusCodes.Status409Conflict, class="code-string">"Cakisma"),
UnauthorizedAccessException => (StatusCodes.Status403Forbidden, class="code-string">"Yetkisiz Erisim"),
_ => (StatusCodes.Status500InternalServerError, class="code-string">"Sunucu Hatasi")
};
context.Response.StatusCode = statusCode;
context.Response.ContentType = class="code-string">"application/problem+json";
var problemDetails = new ProblemDetails
{
Status = statusCode,
Title = title,
Detail = statusCode == class="code-number">500 ? class="code-string">"Beklenmeyen bir hata olustu." : exception.Message,
Type = $class="code-string">"https:class="code-commentclass="code-string">">//httpstatuses.com/{statusCode}",
Extensions =
{
[class="code-string">"traceId"] = context.TraceIdentifier
}
};
await context.Response.WriteAsJsonAsync(problemDetails);
}
}Istek/Yanit Loglama Middleware'i
Her istegi ve yaniti loglamak hata ayiklama ve denetim icin cok degerlidir. Ancak dikkatli olun — istek ve yanit govdelerini loglamak hassas verileri sizdirir ve devasa miktarda depolama tuketebilir.
public class RequestLoggingMiddleware
{
private readonly RequestDelegate _next;
private readonly ILogger<RequestLoggingMiddleware> _logger;
public RequestLoggingMiddleware(RequestDelegate next, ILogger<RequestLoggingMiddleware> logger)
{
_next = next;
_logger = logger;
}
public async Task InvokeAsync(HttpContext context)
{
var stopwatch = Stopwatch.StartNew();
var requestPath = context.Request.Path;
var method = context.Request.Method;
_logger.LogInformation(class="code-string">"Istek basladi: {Method} {Path} {QueryString}",
method, requestPath, context.Request.QueryString);
try
{
await _next(context);
stopwatch.Stop();
_logger.LogInformation(
class="code-string">"Istek tamamlandi: {Method} {Path} — {StatusCode} — {SureMs}ms",
method, requestPath, context.Response.StatusCode, stopwatch.ElapsedMilliseconds);
}
catch (Exception ex)
{
stopwatch.Stop();
_logger.LogError(ex,
class="code-string">"Istek basarisiz: {Method} {Path} — {SureMs}ms sonra exception",
method, requestPath, stopwatch.ElapsedMilliseconds);
throw;
}
}
}Uretim sistemlerinde saglik kontrolu endpoint'lerini ve statik dosya isteklerini her zaman filtreliyorum. Filtreleme olmadan loglama altyapiniz Kubernetes probe'larinin birkacsaniyede bir `/health` endpoint'ine vurmasi yuzunden gurultude boguluyor.
Rate Limiting Middleware
.NET 7 ile yerlesik rate limiting geldi. Birden fazla politika iceren uretim hazir bir kurulum:
builder.Services.AddRateLimiter(options =>
{
options.RejectionStatusCode = StatusCodes.Status429TooManyRequests;
class=class="code-string">"code-comment">// Global sabit pencere politikasi
options.AddFixedWindowLimiter(class="code-string">"fixed", opt =>
{
opt.PermitLimit = class="code-number">100;
opt.Window = TimeSpan.FromMinutes(class="code-number">1);
opt.QueueProcessingOrder = QueueProcessingOrder.OldestFirst;
opt.QueueLimit = class="code-number">10;
});
class=class="code-string">"code-comment">// Kullanici bazli kayan pencere politikasi
options.AddSlidingWindowLimiter(class="code-string">"per-user", opt =>
{
opt.PermitLimit = class="code-number">30;
opt.Window = TimeSpan.FromMinutes(class="code-number">1);
opt.SegmentsPerWindow = class="code-number">6;
});
class=class="code-string">"code-comment">// API anahtarlari icin token bucket
options.AddTokenBucketLimiter(class="code-string">"api-key", opt =>
{
opt.TokenLimit = class="code-number">200;
opt.ReplenishmentPeriod = TimeSpan.FromSeconds(class="code-number">10);
opt.TokensPerPeriod = class="code-number">20;
});
options.OnRejected = async (context, cancellationToken) =>
{
context.HttpContext.Response.ContentType = class="code-string">"application/problem+json";
var problem = new ProblemDetails
{
Status = class="code-number">429,
Title = class="code-string">"Cok Fazla Istek",
Detail = class="code-string">"Rate limit asildi. Lutfen sifirlama penceresinden sonra tekrar deneyin."
};
await context.HttpContext.Response.WriteAsJsonAsync(problem, cancellationToken);
};
});
app.UseRateLimiter();Belirli endpoint'lere politika uygulama:
app.MapGet(class="code-string">"/api/products", GetProducts)
.RequireRateLimiting(class="code-string">"per-user");
app.MapPost(class="code-string">"/api/orders", CreateOrder)
.RequireRateLimiting(class="code-string">"fixed");Middleware vs Endpoint Filter vs Action Filter
En sik aldidim sorulardan biri, middleware ile filter arasindaki farkin ne oldugudur. Iste ayrim:
Middleware, pipeline'dan gecen her istek uzerinde calisir. Controller, action veya model binding gibi MVC kavramlarindan haberi yoktur. Global olarak uygulanan kesisen kaygilar icin kullanin: loglama, correlation ID, hata yonetimi, CORS.
Action Filter'lar bir MVC kavramidir. Model binding'den sonra calisirlar ve action argumanlari, controller ornegi ve model durumuna erisebilirler. Controller'a ozgu isler icin kullanin: hangi action'in cagrildigini denetleme, model durumunu dogrulama, action sonuclarini donusturme.
Endpoint Filter'lar (.NET 7 ile tanitildi) Minimal API'lerin action filter karsiligidur. Tekil endpoint handler'larini sararlar ve endpoint arguanlarina erisebilirler:
app.MapPost(class="code-string">"/api/products", CreateProduct)
.AddEndpointFilter(async (context, next) =>
{
var request = context.GetArgument<CreateProductRequest>(class="code-number">0);
if (string.IsNullOrWhiteSpace(request.Name))
{
return Results.ValidationProblem(
new Dictionary<string, string[]>
{
[class="code-string">"Name"] = [class="code-string">"Urun adi zorunludur."]
});
}
return await next(context);
});| Ozellik | Middleware | Action Filter | Endpoint Filter |
|---------|-----------|---------------|-----------------|
| Kapsam | Her istek | Yalnizca MVC action'lari | Minimal API endpoint'leri |
| Action baglami erisimi | Hayir | Evet | Evet (argumanlar) |
| Model binding oncesi calisir | Evet | Hayir | Hayir |
| Kisa devre yapabilir | Evet | Evet | Evet |
| DI destegi | InvokeAsync parametreleri | Constructor | Constructor/lambda |
| En uygun kullanim | Global kesisen kaygilar | MVC'ye ozgu mantik | Minimal API dogrulama |
Yaygin Middleware Hatalari
1. Yanlis Siralama
En zarar verici hata. `UseAuthentication`'i `UseRouting`'den once koymak, auth middleware'inin hangi endpoint'in eslestigini bilememesi demektir, dolayisiyla endpoint'e ozgu `[Authorize]` politikalari dogru calismaz. `UseExceptionHandler`'i kendi middleware'inizden sonra koymak, o middleware'den gelen exception'larin islenmemesi anlamina gelir.
2. `next()` Cagirmayi Unutmak
Middleware'iniz kosullu olarak `await next()` cagirisini atliyorsa ve bir yanit yazmiyorsa, istemci bos bir 200 yaniti alir. Kisa devre icin (ornegin onbellekten yanit donme) bu mesjru bir tekniktir, ancak cagirisini kazara unutmak kafa karistirici hatalara yol acar.
class=class="code-string">"code-comment">// Hata: else dalinda next cagirmayi unuttuk
app.Use(async (context, next) =>
{
if (context.Request.Headers.ContainsKey(class="code-string">"X-Block"))
{
context.Response.StatusCode = class="code-number">403;
await context.Response.WriteAsync(class="code-string">"Engellendi");
return; class=class="code-string">"code-comment">// Kisa devre — kasitli
}
class=class="code-string">"code-comment">// HATA: buraya gelip await next(context) unutulursa
class=class="code-string">"code-comment">// istek sessizce bos class="code-number">200 dondurur
await next(context); class=class="code-string">"code-comment">// Bunu unutmayin!
});3. Yanit Basladiktan Sonra Degisiklik Yapmak
`context.Response.HasStarted` true dondugunde baslik veya durum kodu degistiremezsiniz. Bu, sonraki bir middleware veya endpoint'in yanit govdesini yazmaya baslamis olmasi durumunda olur:
app.Use(async (context, next) =>
{
await next(context);
class=class="code-string">"code-comment">// Yanit zaten akisa baslamissa bu exception firlatir
if (!context.Response.HasStarted)
{
context.Response.Headers[class="code-string">"X-Custom-Header"] = class="code-string">"deger";
}
});4. Middleware'de Agir Isler Yapmak
Middleware her istekte calisir. Veritabani sorgulari, harici API cagrilari veya karmasik hesaplamalar yapmak throughput'unuzu yerle bir eder. Istek basina veri zenginlestirme gerekiyorsa sonuclari onbelleklemeyi veya mantigi yalnizca ilgili endpoint'ler icin calisan bir action filter'a tasimyi dusunun.
5. Exception'lari Yeniden Firlatmamak
Middleware'de bir exception yakalayip yeniden firlatmamak, hatayi sessizce yutar. Kasitli bir exception handler yazmiyorsaniz her zaman yeniden firlatin:
class=class="code-string">"code-comment">// YANLIS — exception'i yutar, baska hicbir middleware goremez
app.Use(async (context, next) =>
{
try { await next(context); }
catch (Exception ex)
{
_logger.LogError(ex, class="code-string">"Bir seyler ters gitti");
class=class="code-string">"code-comment">// Eksik: throw; veya hata yaniti yazma
}
});Kosullu Middleware Yurutme
Istek ozelliklerine gore middleware pipeline'ini dallandirabilirsininz:
class=class="code-string">"code-comment">// Yalnizca API rotalarina uygula
app.UseWhen(
context => context.Request.Path.StartsWithSegments(class="code-string">"/api"),
appBuilder =>
{
appBuilder.UseMiddleware<ApiKeyValidationMiddleware>();
appBuilder.UseMiddleware<RequestLoggingMiddleware>();
});
class=class="code-string">"code-comment">// Saglik kontrolleri icin ayri pipeline
app.Map(class="code-string">"/health", appBuilder =>
{
appBuilder.Run(async context =>
{
context.Response.StatusCode = class="code-number">200;
await context.Response.WriteAsync(class="code-string">"Saglikli");
});
});`UseWhen` daldan sonra ana pipeline'a geri katilir, `Map` ise geri katilmayan terminal bir dal olusturur.
Terminal Middleware
`app.Run`, terminal middleware kaydeder — `next` delegate almaz ve pipeline'i her zaman sonlandirir:
class=class="code-string">"code-comment">// Eslesmeyen rotalar icin geri donus
app.Run(async context =>
{
context.Response.StatusCode = class="code-number">404;
context.Response.ContentType = class="code-string">"application/problem+json";
await context.Response.WriteAsJsonAsync(new ProblemDetails
{
Status = class="code-number">404,
Title = class="code-string">"Bulunamadi",
Detail = $class="code-string">"class="code-string">'{context.Request.Path}' yoluna eslesen bir endpoint bulunamadi."
});
});Sonuc
Middleware pipeline'i, uygulamanizin kesisen davranislarinin yasadigi yerdir. Doğru siralamayi yapmak, singleton yasam dongusunu anlamak ve middleware ile filter'lar arasinda ne zaman hangisinin kullanilacagini bilmek, saglan API'leri kirilganlardan ayirir. Middleware ile ilgili arastirdigim her uretim olayinin temelinde yukarida siralanan hatalardan biri yatiyordu — siralama, eksik `next()` cagrisi veya scoped servislerin kazara singleton yakalanmasi. Bu temelleri oturtun ve pipeline en guclu mimari araclarinizdan biri olur.
Middleware pipeline'inizi uretim ortami icin tasarlamak ve gozden gecirmek konusunda yardimci olabilirim.
İlgili Makaleler
ASP.NET Core ile RESTful API Geliştirme
ASP.NET Core ile production-ready REST API geliştirmenin temellerini öğrenin. Controller, routing ve best practice'ler.
.NET'te Authentication ve Authorization: JWT ve Identity
.NET'te güvenli kimlik doğrulama ve yetkilendirme uygulayın. JWT, ASP.NET Core Identity ve OAuth2.
.NET'te Logging ve Monitoring: Serilog ve Application Insights
.NET'te etkili logging ve monitoring stratejisi kurun. Serilog, structured logging ve Application Insights.
Flutter Projeniz mi Var?
iOS, Android ve web için yüksek performanslı Flutter uygulamaları geliştiriyorum.
İletişime Geç