當(dāng)前位置：首頁 > 编程语言 > asp.net >内容正文

asp.net

深度解读.NET 5授权中间件的执行策略

發(fā)布時間：2023/12/4 asp.net 29 豆豆

生活随笔收集整理的這篇文章主要介紹了深度解读.NET 5授权中间件的执行策略小編覺得挺不錯的,現(xiàn)在分享給大家,幫大家做個參考.

前文提要

2021.1月份我寫了一個《這難道不是.NET5 的bug? 在線求錘？》，
講述了我在實現(xiàn)[全局授權(quán)訪問+特例匿名訪問] 遇到的技術(shù)困惑:? ? [特例匿名訪問，怎么走了認(rèn)證流程？]。

博客園上某大佬的看法：

大概的意思是說：不管是匿名訪問還是鑒權(quán)訪問，均先識別用戶身份，再決定跳過授權(quán)/應(yīng)用授權(quán)！[有身份訪問 MVC Login]這個場景可以佐證這個看法。

頭腦風(fēng)暴

后來我又仔細(xì)檢視看了授權(quán)的源代碼，發(fā)現(xiàn)并不完整，請看官仔細(xì)觀察我原文的示例，
端點路由還有一個[健康檢查]，端點加上了[AllowAnonymous]

endpoints.MapHealthChecks("/healthz").AllowAnonymous().WithDisplayName("healthz");

這個端點并沒有進(jìn)入認(rèn)證流程，從授權(quán)中間件源碼上看也是如此。

故官方源碼是否能進(jìn)入認(rèn)證邏輯：關(guān)鍵是看端點上是否包含授權(quán)策略：

var?authorizeData?=?endpoint?.Metadata.GetOrderedMetadata<IAuthorizeData>()????Array.Empty<IAuthorizeData>();???var?policy?=?await?AuthorizationPolicy.CombineAsync(_policyProvider,?authorizeData);if?(policy?==?null){await?_next(context);return;}

健康檢查端點直接應(yīng)用了[AllowAnonymous]（實際上你可以不加）, 這樣就沒有授權(quán)策略(policy= null)，這個時候自然跳過后續(xù)，進(jìn)入業(yè)務(wù)邏輯。

甚至，你可以這樣寫：endpoints.MapControllers().RequireAuthorization().AllowAnonymous().WithDisplayName("default");
這樣的代碼也要進(jìn)入認(rèn)證邏輯，因為它包含了授權(quán)聲明。

根據(jù)以上分析，.NET 5授權(quán)中間件的流程是這樣的：

The official said:

Authorization is orthogonal and independent from authentication. However, authorization requires an authentication mechanism. Authentication is the process of ascertaining who a user is. Authentication may create one or more identities for the current user.
授權(quán)是正交的并且獨立于驗證。但是，授權(quán)需要身份驗證機(jī)制。身份驗證是確定用戶身份的過程。認(rèn)證可以為當(dāng)前用戶創(chuàng)建一個或多個身份。

思緒整理

我試圖以一種流暢的、能自然其說的思路來理解官方的設(shè)計理念。

我們捋一捋：

當(dāng)我“樸素的需求”到達(dá)端點時，端點第一時間拿到平鋪的所有元數(shù)據(jù)metadata：??

（直接附加在端點上的聲明信息 & MVC上附加的特性 & 全局附加的過濾器）

針對這種矛盾體元數(shù)據(jù), ?? 確實有不同的設(shè)計策略：

我理解的匿名優(yōu)先：不需要認(rèn)證；

官方認(rèn)定的匿名優(yōu)先，是在身份登記的前提下，匿名訪問優(yōu)先。

也許我將”匿名優(yōu)先“與“無需認(rèn)證”聯(lián)系在一起，并不正確。?官方可是將AllowAnonymous 放在授權(quán)的范疇。? ?

>??Authorization components, including the AuthorizeAttribute and AllowAnonymousAttribute attributes, are found in the Microsoft.AspNetCore.Authorization namespace.

就這樣吧，匿名訪問不表示"無需認(rèn)證"；匿名訪問是"授權(quán)" 的控制范疇;? ??授權(quán)的前提是先認(rèn)證。

Ref：

這難道不是.NET5的bug? 在線求錘？
2021年了，`IEnumerator`、`IEnumerable`接口還傻傻分不清楚？
ASP.NET Core Middleware抽絲剝繭
一套標(biāo)準(zhǔn)的ASP.NET Core容器化應(yīng)用日志收集分析方案
吐槽一下Abp的用戶和租戶管理模塊
ASP.NET Core端點路由作用原理

總結(jié)

以上是生活随笔為你收集整理的深度解读.NET 5授权中间件的执行策略的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。

上一篇：如何使用 Entity Framewor
下一篇：如何在 ASP.Net Core 中使用