这难道不是.NET5的bug? 在线求锤?

简介: hello,最近在对一个使用.NET5项目的认证授权系统进行重构,对.NET 5的授权中间件的源码有些看法。也希望同学们能帮我理解。

一个朴素的需求


这是一个api项目,默认所有的api都需要授权, 少量散落在Controller各处的api不需要授权访问,故这里有个全局授权访问+特例匿名访问的矛盾


以我粗鄙的想法,我相信.NET会很好的处理好这个矛盾:[AllowAnonymous]优先


这个想法在https://docs.microsoft.com/en-us/aspnet/core/security/authorization/simple?view=aspnetcore-5.0 得到印证


a7d879789d8f0e571218920bb869521c.png


需求实现


在Startup ConfigureServices添加认证、授权服务


//  认证服务
 services.AddAuthentication("token")
          .AddScheme<TokenAuthenticationOptions, TokenAuthenticationHandler>(TokenAuthenticationDefaults.AuthenticationScheme,
          option => {
              option.ClaimsIssuer = configuration.GetSection("AppKeys")["ClaimsIssuer"].ToString();
              option.ClientId = configuration.GetSection("AppKeys")["ClientId"].ToString();
              option.ClientSign = configuration.GetSection("AppKeys")["ClientSign"].ToString();
    });
// 授权服务
services.AddAuthorization(options =>{
         // 默认策略
         options.DefaultPolicy = new AuthorizationPolicyBuilder()
                .RequireAuthenticatedUser()
                .AddAuthenticationSchemes("token")
                 .Build();
});


既然现在.NET5推荐使用端点路由的形式,故针对我这个朴素的需求:


我理所当然会尝试使用在Controller端点上要求全局授权访问,对散落在各地的不需要授权的Controller添加[AllowAnonymous]特性


// 注册授权中间件
 app.UseAuthorization();
 app.UseEndpoints(endpoints =>
 {
     endpoints.MapHealthChecks("/healthz").AllowAnonymous().WithDisplayName("healthz");                  
     // 全局对所有api要求授权访问
     endpoints.MapControllers().RequireAuthorization().WithDisplayName("default");
 });


[AllowAnonymous]
[HttpGet]
[Route("triggerorder")]
public void TriggerOrder()
{
  ...
}


实际测试发现,虽然我对Controller标记了允许匿名访问, 但请求始终进入了授权认证过程!这个朴素的授权需求竟然还遇到了障碍。


探究源码


授权中间件源码在此:


https://github.com/dotnet/aspnetcore/blob/master/src/Security/Authorization/Policy/src/AuthorizationMiddleware.cs


源码很简单:


1. .NET 授权中间件先从端点获取了全局授权声明IAuthorizeData


2. 通过这个声明拿到了详细的全局授权策略


3. 后面直接开始走授权认证过程  ???    难以理解


4. 虽然后面又开始检测Controller-Action上面的
AllowAnonymous特性,这时候已经晚了,你都把授权认证流程都走一遍了!!


2fcff370c771a778c62652e7a4fae9b2.png


很明显,基于端点的全局授权+零散的匿名访问特性 并没有贯彻[AllowAnonymous]特性优先的原则


在这个测试例子中,当前端点的metadata确实包含AuthorizeAllowAnonymous两个特性!


后续


我在github上提了issue(https://github.com/dotnet/aspnetcore/issues/29377), 讲述了这个朴素的需求面临的障碍,但是官方的回答我并不满意:


> [the current behavior is intentional ]     [By Design]


暂时采用变通方案:我自行写了一个授权中间件(主体拷贝自官方), 自行将对[AllowAnonymous]特性的检测应用代码提到端点授权代码的前面, 这也是我内心认为的bug修复方案。


欢迎大家留言,提出意见或看法

相关文章
|
6月前
|
开发框架 JavaScript .NET
ASP.NET Core的超级大BUG
ASP.NET Core的超级大BUG
75 0
|
6月前
|
程序员 数据库
VB.NET—Bug调试(参数话查询、附近语法错误)
VB.NET—Bug调试(参数话查询、附近语法错误)
58 0
|
SQL 算法 数据库
【开源】QuickPager ASP.NET2.0分页控件V2.0.0.6 修改了几个小bug,使用演示。
     由于项目里面还在使用vs2003,还没有使用新的分页控件,所以对新的分页控件的测试还很不到位,遗留了不少的bug,感谢网友试用提出宝贵意见。由于项目正在收尾中,时间也不是太充裕,所以使用说明也不够详细。
922 0
|
前端开发 开发工具 IDE
|
Web App开发 前端开发 .NET

热门文章

最新文章