这难道不是.NET5 的bug? 在线求锤?

我的程序员之路02:大数据实习篇

hello,最近在对一个使用.NET5项目的认证授权系统进行重构,对.NET 5的授权中间件的源码有些看法。
也希望同学们能帮我理解。

一个朴素的需求

这是一个api项目,默认所有的api都需要授权, 少数散落在Controller各处的api不需要授权访问,故这里有个全局授权访问+特例匿名访问的矛盾

以我粗鄙的想法,我相信.NET会很好的处理好这个矛盾: [AllowAnonymous]优先

这个想法在https://docs.microsoft.com/en-us/aspnet/core/security/authorization/simple?view=aspnetcore-5.0 得到印证。

需求实现

在Startup ConfigureServices添加认证、授权服务

  //  认证服务
 services.AddAuthentication("token")
          .AddScheme<TokenAuthenticationOptions, TokenAuthenticationHandler>(TokenAuthenticationDefaults.AuthenticationScheme,
          option => {
              option.ClaimsIssuer = configuration.GetSection("AppKeys")["ClaimsIssuer"].ToString();
              option.ClientId = configuration.GetSection("AppKeys")["ClientId"].ToString();
              option.ClientSign = configuration.GetSection("AppKeys")["ClientSign"].ToString();
    });

// 授权服务
services.AddAuthorization(options =>{
         // 默认策略
         options.DefaultPolicy = new AuthorizationPolicyBuilder()
                .RequireAuthenticatedUser()
                .AddAuthenticationSchemes("token")
                 .Build();
});

既然现在.NET5推荐使用端点路由的形式,故针对我这个朴素的需求:

我理所当然会尝试使用在Controller端点上要求全局授权访问,对散落在各地的不需要授权的Controller添加[AllowAnonymous]特性

 // 注册授权中间件
 app.UseAuthorization();
 app.UseEndpoints(endpoints =>
 {
     endpoints.MapHealthChecks("/healthz").AllowAnonymous().WithDisplayName("healthz");                  
     // 全局对所有api要求授权访问
     endpoints.MapControllers().RequireAuthorization().WithDisplayName("default");
 });
[AllowAnonymous]
[HttpGet]
[Route("triggerorder")]
public void TriggerOrder()
{
  ...
}

实际测试发现,虽然我对Controller标记了允许匿名访问, 但请求始终进入了授权认证过程!
这个朴素的授权需求竟然还遇到了障碍。

一文读懂 Kubernetes APIServer 原理

探究源码

授权中间件源码在此: https://github.com/dotnet/aspnetcore/blob/master/src/Security/Authorization/Policy/src/AuthorizationMiddleware.cs

源码很简单:

1..NET 授权中间件先从端点获取了全局授权声明IAuthorizeData
2. 通过这个声明拿到了详细的全局授权策略
3. 后面直接开始走授权认证过程, ??? 难以理解
4. 虽然后面又开始检测Controller-Action上面的AllowAnonymous特性,这时候已经晚了,你都把授权认证流程都走一遍了!!

很明显,基于端点的全局授权+零散的匿名访问特性 并没有贯彻[AllowAnonymous]特性优先的原则

在这个测试例子中,当前端点的metadata确实包含AuthorizeAllowAnonymous两个特性!

后续

我已经在github上提了issue(https://github.com/dotnet/aspnetcore/issues/29377), 讲述了这个朴素的需求面临的障碍,但是官方的回答我并不满意。

暂时采用变通方案,我自行写了一个授权中间件(主体拷贝自官方), 只是自行将对[AllowAnonymous]特性的检测应用代码提到端点授权代码的前面, 这也是我内心认为的bug的修复方案。

欢迎大家留言,提出意见或看法!

国人之光:大数据分析神器Apache Kylin

给TA买糖
共{{data.count}}人
人已赞赏
经验教程

记忆中的像素块褪色了吗?用开源的体素编辑器重新做个 3D 的吧!

2021-1-20 9:18:00

经验教程

我的程序员之路02:大数据实习篇

2021-1-20 9:36:00

⚠️
免责声明:根据《计算机软件保护条例》第十七条规定“为了学习和研究软件内含的设计思想和原理,通过安装、显示、传输或者存储软件等方式使用软件的,可以不经软件著作权人许可,不向其支付报酬。”您需知晓本站所有内容资源均来源于网络,仅供用户交流学习与研究使用,版权归属原版权方所有,版权争议与本站无关,用户本人下载后不能用作商业或非法用途,需在24个小时之内从您的电脑中彻底删除上述内容,否则后果均由用户承担责任;如果您访问和下载此文件,表示您同意只将此文件用于参考、学习而非其他用途,否则一切后果请您自行承担,如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。 本站为个人博客非盈利性站点,所有软件信息均来自网络,所有资源仅供学习参考研究目的,并不贩卖软件,不存在任何商业目的及用途,网站会员捐赠是您喜欢本站而产生的赞助支持行为,仅为维持服务器的开支与维护,全凭自愿无任何强求。本站部份代码及教程来源于互联网,仅供网友学习交流,若您喜欢本文可附上原文链接随意转载。
无意侵害您的权益,请发送邮件至 momeis6@qq.com 或点击右侧 私信:momeis 反馈,我们将尽快处理。
0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
今日签到
有新私信 私信列表
搜索