hello,最近在对一个使用.NET5项目的认证授权系统进行重构,对.NET 5的授权中间件的源码有些看法。

也希望同学们能帮我理解。

一个朴素的需求

这是一个api项目,默认所有的api都需要授权, 少数散落在Controller各处的api不需要授权访问,故这里有个全局授权访问+特例匿名访问的矛盾

以我粗鄙的想法,我相信.NET会很好的处理好这个矛盾: [AllowAnonymous]优先。

这个想法在https://docs.microsoft.com/en-us/aspnet/core/security/authorization/simple?view=aspnetcore-5.0 得到印证。

需求实现

在Startup ConfigureServices添加认证、授权服务

  //  认证服务

 services.AddAuthentication("token")

          .AddScheme<TokenAuthenticationOptions, TokenAuthenticationHandler>(TokenAuthenticationDefaults.AuthenticationScheme,

          option => {

              option.ClaimsIssuer = configuration.GetSection("AppKeys")["ClaimsIssuer"].ToString();

              option.ClientId = configuration.GetSection("AppKeys")["ClientId"].ToString();

              option.ClientSign = configuration.GetSection("AppKeys")["ClientSign"].ToString();

    });

// 授权服务

services.AddAuthorization(options =>{

         // 默认策略

         options.DefaultPolicy = new AuthorizationPolicyBuilder()

                .RequireAuthenticatedUser()

                .AddAuthenticationSchemes("token")

                 .Build();

});

既然现在.NET5推荐使用端点路由的形式,故针对我这个朴素的需求:

我理所当然会尝试使用在Controller端点上要求全局授权访问,对散落在各地的不需要授权的Controller添加[AllowAnonymous]特性。

 // 注册授权中间件

 app.UseAuthorization();

 app.UseEndpoints(endpoints =>

 {

     endpoints.MapHealthChecks("/healthz").AllowAnonymous().WithDisplayName("healthz");

     // 全局对所有api要求授权访问

     endpoints.MapControllers().RequireAuthorization().WithDisplayName("default");

 });


[AllowAnonymous]

[HttpGet]

[Route("triggerorder")]

public void TriggerOrder()

{

  ...

}

实际测试发现,虽然我对Controller标记了允许匿名访问, 但请求始终进入了授权认证过程!

这个朴素的授权需求竟然还遇到了障碍。

探究源码

授权中间件源码在此: https://github.com/dotnet/aspnetcore/blob/master/src/Security/Authorization/Policy/src/AuthorizationMiddleware.cs

源码很简单:

1..NET 授权中间件先从端点获取了全局授权声明IAuthorizeData

2. 通过这个声明拿到了详细的全局授权策略

3. 后面直接开始走授权认证过程, ??? 难以理解

4. 虽然后面又开始检测Controller-Action上面的AllowAnonymous特性,这时候已经晚了,你都把授权认证流程都走一遍了!!

很明显,基于端点的全局授权+零散的匿名访问特性 并没有贯彻[AllowAnonymous]特性优先的原则。

在这个测试例子中,当前端点的metadata确实包含AuthorizeAllowAnonymous两个特性!

后续

我已经在github上提了issue(https://github.com/dotnet/aspnetcore/issues/29377), 讲述了这个朴素的需求面临的障碍,但是官方的回答我并不满意。

暂时采用变通方案,我自行写了一个授权中间件(主体拷贝自官方), 只是自行将对[AllowAnonymous]特性的检测应用代码提到端点授权代码的前面, 这也是我内心认为的bug的修复方案。

欢迎大家留言,提出意见或看法!

最新文章

  1. 【转】Django Model field reference学习总结
  2. react+redux官方实例TODO从最简单的入门(1)-- 前言
  3. 主流ORM对比分析,莫人云亦云
  4. java jdbc sqlhelper
  5. Python流程控制语句(Control Flow)
  6. javascript中的原型和闭包
  7. lintcode:Fibonacci 斐波纳契数列
  8. mysql SELECT INTO OUTFILE ,can&#39;t create file (转)
  9. Spring中的AOP
  10. canvas总结:元素大小与绘图表面大小
  11. WM_SYSCOMMAND消息命令整理 good
  12. 行为驱动开发(BDD)
  13. Android系统--输入系统(十五)实战_使用GlobalKey一键启动程序
  14. C语言函数调用栈(三)
  15. Android Studio|IntelliJ IDEA 上传代码到码云
  16. Wedding UVA - 11294(2-SAT男女分点)
  17. win10 当前操作环境不支持支付宝控件 完美解决办法
  18. 【转】浏览器Request Header和Response Header的内容
  19. JavaScript-dom3 json_str dom元素控制 模拟百度搜索
  20. 进程间通讯-3(Manager)-实现数据的同时修改

热门文章

  1. 目前市面上比较流行的devops运维平台汇总
  2. Oracle数据导入Mysql中
  3. C++ string常见函数总结
  4. 【Go语言绘图】图片添加文字(二)
  5. 神奇的 SQL 之 HAVING → 容易被轻视的主角
  6. C#访问Access数据库提示未安装ISAM
  7. 【Windows系统常用命令集合】
  8. Dubbo服务调用过程源码解析④
  9. Fresco 二三事:图片处理之旋转、缩放、裁剪切割图片
  10. 安装交叉编译工具arm-linux-gcc-4.3.2 并且修改环境变量