标签：求锤 中间件 认证 AllowAnonymous Controller 端点 授权 NET5 bug

hello，最近在对一个使用.NET5项目的认证授权系统进行重构，对.NET 5的授权中间件的源码有些看法。
也希望同学们能帮我理解。

一个朴素的需求

这是一个api项目，默认所有的api都需要授权， 少数散落在Controller各处的api不需要授权访问，故这里有个全局授权访问+特例匿名访问的矛盾。

以我粗鄙的想法，我相信.NET会很好的处理好这个矛盾： [AllowAnonymous]优先。

这个想法在https://docs.microsoft.com/en-us/aspnet/core/security/authorization/simple?view=aspnetcore-5.0 得到印证。

需求实现

在Startup ConfigureServices添加认证、授权服务

  //  认证服务
 services.AddAuthentication("token")
          .AddScheme<TokenAuthenticationOptions, TokenAuthenticationHandler>(TokenAuthenticationDefaults.AuthenticationScheme,
          option => {
              option.ClaimsIssuer = configuration.GetSection("AppKeys")["ClaimsIssuer"].ToString();
              option.ClientId = configuration.GetSection("AppKeys")["ClientId"].ToString();
              option.ClientSign = configuration.GetSection("AppKeys")["ClientSign"].ToString();
    });

// 授权服务
services.AddAuthorization(options =>{
         // 默认策略
         options.DefaultPolicy = new AuthorizationPolicyBuilder()
                .RequireAuthenticatedUser()
                .AddAuthenticationSchemes("token")
                 .Build();
});

既然现在.NET5推荐使用端点路由的形式，故针对我这个朴素的需求：

我理所当然会尝试使用在Controller端点上要求全局授权访问，对散落在各地的不需要授权的Controller添加[AllowAnonymous]特性。

 // 注册授权中间件
 app.UseAuthorization();
 app.UseEndpoints(endpoints =>
 {
     endpoints.MapHealthChecks("/healthz").AllowAnonymous().WithDisplayName("healthz");                  
     // 全局对所有api要求授权访问
     endpoints.MapControllers().RequireAuthorization().WithDisplayName("default");
 });

[AllowAnonymous]
[HttpGet]
[Route("triggerorder")]
public void TriggerOrder()
{
  ...
}

实际测试发现，虽然我对Controller标记了允许匿名访问， 但请求始终进入了授权认证过程！
这个朴素的授权需求竟然还遇到了障碍。

探究源码

授权中间件源码在此： https://github.com/dotnet/aspnetcore/blob/master/src/Security/Authorization/Policy/src/AuthorizationMiddleware.cs

源码很简单：

1..NET 授权中间件先从端点获取了全局授权声明IAuthorizeData
2. 通过这个声明拿到了详细的全局授权策略
3. 后面直接开始走授权认证过程, ??? 难以理解
4. 虽然后面又开始检测Controller-Action上面的AllowAnonymous特性，这时候已经晚了，你都把授权认证流程都走一遍了！！

很明显，基于端点的全局授权+零散的匿名访问特性 并没有贯彻[AllowAnonymous]特性优先的原则。

在这个测试例子中，当前端点的metadata确实包含Authorize和AllowAnonymous两个特性！

后续

我已经在github上提了issue（https://github.com/dotnet/aspnetcore/issues/29377）， 讲述了这个朴素的需求面临的障碍，但是官方的回答我并不满意。

暂时采用变通方案，我自行写了一个授权中间件(主体拷贝自官方)， 只是自行将对[AllowAnonymous]特性的检测应用代码提到端点授权代码的前面， 这也是我内心认为的bug的修复方案。

欢迎大家留言，提出意见或看法！

标签：求锤,中间件,认证,AllowAnonymous,Controller,端点,授权,NET5,bug
来源： https://www.cnblogs.com/JulianHuang/p/14298737.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。