一个朴素的需求
这是一个api项目,默认所有的api都需要授权, 少量散落在Controller各处的api不需要授权访问,故这里有个全局授权访问+特例匿名访问的矛盾。
以我粗鄙的想法,我相信.NET会很好的处理好这个矛盾:[AllowAnonymous]优先。
“这个想法在https://docs.microsoft.com/en-us/aspnet/core/security/authorization/simple?view=aspnetcore-5.0 得到印证
需求实现
在Startup ConfigureServices添加认证、授权服务
// 认证服务 services.AddAuthentication("token") .AddScheme<TokenAuthenticationOptions, TokenAuthenticationHandler>(TokenAuthenticationDefaults.AuthenticationScheme, option => { option.ClaimsIssuer = configuration.GetSection("AppKeys")["ClaimsIssuer"].ToString(); option.ClientId = configuration.GetSection("AppKeys")["ClientId"].ToString(); option.ClientSign = configuration.GetSection("AppKeys")["ClientSign"].ToString(); }); // 授权服务 services.AddAuthorization(options =>{ // 默认策略 options.DefaultPolicy = new AuthorizationPolicyBuilder() .RequireAuthenticatedUser() .AddAuthenticationSchemes("token") .Build(); });
既然现在.NET5推荐使用端点路由的形式,故针对我这个朴素的需求:
我理所当然会尝试使用在Controller端点上要求全局授权访问,对散落在各地的不需要授权的Controller添加[AllowAnonymous]特性。
// 注册授权中间件 app.UseAuthorization(); app.UseEndpoints(endpoints => { endpoints.MapHealthChecks("/healthz").AllowAnonymous().WithDisplayName("healthz"); // 全局对所有api要求授权访问 endpoints.MapControllers().RequireAuthorization().WithDisplayName("default"); });
[AllowAnonymous] [HttpGet] [Route("triggerorder")] public void TriggerOrder() { ... }
实际测试发现,虽然我对Controller标记了允许匿名访问, 但请求始终进入了授权认证过程!这个朴素的授权需求竟然还遇到了障碍。
探究源码
授权中间件源码在此:
源码很简单:
1. .NET 授权中间件先从端点获取了全局授权声明IAuthorizeData
2. 通过这个声明拿到了详细的全局授权策略
3. 后面直接开始走授权认证过程 ??? 难以理解
4. 虽然后面又开始检测Controller-Action上面的AllowAnonymous特性,这时候已经晚了,你都把授权认证流程都走一遍了!!
很明显,基于端点的全局授权+零散的匿名访问特性 并没有贯彻[AllowAnonymous]特性优先的原则。
“在这个测试例子中,当前端点的
metadata确实包含Authorize和AllowAnonymous两个特性!
后续
我在github上提了issue(https://github.com/dotnet/aspnetcore/issues/29377), 讲述了这个朴素的需求面临的障碍,但是官方的回答我并不满意:
> [the current behavior is intentional ] [By Design]
暂时采用变通方案:我自行写了一个授权中间件(主体拷贝自官方), 自行将对[AllowAnonymous]特性的检测应用代码提到端点授权代码的前面, 这也是我内心认为的bug修复方案。
欢迎大家留言,提出意见或看法!
