这难道不是.NET5的bug? 在线求锤?

最新推荐文章于 2021-03-04 17:02:29 发布
最新推荐文章于 2021-03-04 17:02:29 发布
阅读量135 收藏
点赞数
文章标签: 中间件 微软 c++11 twitter xhtml
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_30236895/article/details/112914639
版权

hello,最近在对一个使用.NET5项目的认证授权系统进行重构,对.NET 5的授权中间件的源码有些看法。也希望同学们能帮我理解。

一个朴素的需求

这是一个api项目,默认所有的api都需要授权, 少量散落在Controller各处的api不需要授权访问,故这里有个全局授权访问+特例匿名访问的矛盾

以我粗鄙的想法,我相信.NET会很好的处理好这个矛盾:[AllowAnonymous]优先

这个想法在https://docs.microsoft.com/en-us/aspnet/core/security/authorization/simple?view=aspnetcore-5.0 得到印证


需求实现

在Startup ConfigureServices添加认证、授权服务

  //  认证服务
 services.AddAuthentication("token")
          .AddScheme<TokenAuthenticationOptions, TokenAuthenticationHandler>(TokenAuthenticationDefaults.AuthenticationScheme,
          option => {
              option.ClaimsIssuer = configuration.GetSection("AppKeys")["ClaimsIssuer"].ToString();
              option.ClientId = configuration.GetSection("AppKeys")["ClientId"].ToString();
              option.ClientSign = configuration.GetSection("AppKeys")["ClientSign"].ToString();
    });

// 授权服务
services.AddAuthorization(options =>{
         // 默认策略
         options.DefaultPolicy = new AuthorizationPolicyBuilder()
                .RequireAuthenticatedUser()
                .AddAuthenticationSchemes("token")
                 .Build();
});

既然现在.NET5推荐使用端点路由的形式,故针对我这个朴素的需求:

我理所当然会尝试使用在Controller端点上要求全局授权访问,对散落在各地的不需要授权的Controller添加[AllowAnonymous]特性。

 // 注册授权中间件
 app.UseAuthorization();
 app.UseEndpoints(endpoints =>
 {
     endpoints.MapHealthChecks("/healthz").AllowAnonymous().WithDisplayName("healthz");                  
     // 全局对所有api要求授权访问
     endpoints.MapControllers().RequireAuthorization().WithDisplayName("default");
 });

[AllowAnonymous]
[HttpGet]
[Route("triggerorder")]
public void TriggerOrder()
{
  ...
}

实际测试发现,虽然我对Controller标记了允许匿名访问, 但请求始终进入了授权认证过程!这个朴素的授权需求竟然还遇到了障碍。

探究源码

授权中间件源码在此:https://github.com/dotnet/aspnetcore/blob/master/src/Security/Authorization/Policy/src/AuthorizationMiddleware.cs

源码很简单:

1. .NET 授权中间件先从端点获取了全局授权声明IAuthorizeData
2. 通过这个声明拿到了详细的全局授权策略
3. 后面直接开始走授权认证过程  ???    难以理解
4. 虽然后面又开始检测Controller-Action上面的AllowAnonymous特性,这时候已经晚了,你都把授权认证流程都走一遍了!!

很明显,基于端点的全局授权+零散的匿名访问特性 并没有贯彻[AllowAnonymous]特性优先的原则。

在这个测试例子中,当前端点的metadata确实包含AuthorizeAllowAnonymous两个特性!

后续

我在github上提了issue(https://github.com/dotnet/aspnetcore/issues/29377), 讲述了这个朴素的需求面临的障碍,但是官方的回答我并不满意:

> [the current behavior is intentional ]     [By Design]

暂时采用变通方案:我自行写了一个授权中间件(主体拷贝自官方), 自行将对[AllowAnonymous]特性的检测应用代码提到端点授权代码的前面, 这也是我内心认为的bug修复方案。

欢迎大家留言,提出意见或看法!

更多干货及最佳实践分享
关注并星标我们~。。~

有态度的马甲
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
asp.net core 5.0 身份验证与授权 demo
01-05
使用visual studio 2019 创建的 asp.net core 5.0 web application 项。 startup类中注册使用Authentication和Authorization中间件服务,在controller或action中使用AuthorizeAttribute和AllowAnonymousAttribute控制访问权限。 详见代码,都有注释。
深度解读.NET 5授权中间件的执行策略
qq_30236895的博客
02-04 313
前文提要2021.1月份我写了一个《这难道不是.NET5 的bug? 在线求锤?》,讲述了我在实现[全局授权访问+特例匿名访问] 遇到的技术困惑: [特例匿名访问,怎么走了认证流程?...
.NET Core3.1升级.NET5,坑还真不少...
dotNET跨平台
11-16 8058
11月11号是电商狂欢的日子,也是.NET5正式发布的日子,媳妇儿等着零点秒杀,我却在刷新着微软官网等更新,然后第一时间开始折腾。此前Scott Hunter在博客信誓旦旦.NET Co...
asp.net5中的用户认证与授权(1)
10-23
Visual Studio 2015 Preview 除了给我们带了了C# 6.0的新语法、跨移动的开发以外,还给我们带来了ASP.NET5(也就是之前被称作下一代ASP.NET的ASP.NET vNext)。本文给大家介绍asp.net5中的用户认证与授权(1),需要的朋友可以参考下
.net5正式版_昨晚.NET5迁移10小时,我发现了好几个致命坑..
weixin_39869791的博客
11-27 302
11月11号是电商狂欢的日子,也是.NET5正式发布的日子,媳妇儿等着零点秒杀,我却在刷新着微软官网等更新,然后第一时间开始折腾。此前Scott Hunter在博客信誓旦旦.NET Core3.1平滑迁移.NET5,于是当天就去升级我的宝藏项目,结果是大坑没有,小坑不断,折腾了一天时间才搞定,下面来仔细捋一捋,给搭建提供点参考。背景介绍升级的项目是前开源在Github上,也曾一周新增300star...
为什么你应该遵守0Bug原则?
02-26
 这是基于我在过去的5年中,在不同scrum团队中实现不同产品的经验所得。 我们也尝试过其他的办法,但全部都失败了:例如说,我们曾尝试过提升Bug管理在产品待办事项中的优先级,但是这完全没有用。客户总希望多...
bugtracker:带有ASP.NET Core 5的Bugtracker
03-06
【标题】"bugtracker:带有ASP.NET Core 5的Bugtracker"揭示了这是一个基于ASP.NET Core 5构建的错误跟踪系统。错误跟踪器是软件开发中的一个重要工具,它帮助团队记录、分类、优先级排序以及解决软件应用中出现的...
asp.NET开发中正则表达式中BUG分析
10-30
又发现了一个 .netbug!最近在使用正则表达式的时候发现:在忽略大小写的时候,匹配值从 0xff 到 0xffff 之间的所有字符,正则表达式竟然也能匹配两个 ASCII 字符:i(code: 0x69) 和 I(code: 0x49);但是仍然不能...
ASP.NET开发的Bug跟踪管理系统
08-28
在这个"ASP.NET开发的Bug跟踪管理系统"中,我们可以深入探讨以下几个关键知识点: 1. **Bug跟踪管理**:在软件开发过程中,Bug跟踪是至关重要的。它涉及识别、记录、分类、优先级排序以及解决软件中的问题。该系统...
ASP.NET网站 BUg管理
06-17
网站 BUg管理网站 BUg管理网站 BUg管理网站 BUg管理网站 BUg管理网站 BUg管理
ASP.NET Core3.X 终端中间件转换为端点路由运行
冯辉
12-09 337
引言 前几天.NET Core3.1发布,于是我把公司一个基础通用系统升级了,同时删除了几个基础模块当然这几个基础模块与.NET Core3.1无关,其中包括了支付模块,升级完后静文(同事)问我你把支付删除了啊?我说是啊,没考虑好怎么加上(感觉目前不太好,我需要重新设计一下)。 故事从这开始 考虑支付的时候我考虑的是将支付sdk如何直接引入到系统,以及可以有一系列支付的路由,我需要考虑的是...
.Net5下定时任务Quartz的使用
Vaccae的博客
12-28 2566
学更好的别人,做更好的自己。——《微卡智享》本文长度为3657字,预计阅读8分钟前言关于Quartz的使用在《项目实战|C#Socket通讯方式改造(二)--利用Quartz实现定时任务...
配置跨域: ASP.NET Core 3.1 快速实现跨域访问
Gabriel_gu的博客
04-29 2219
内容纲要 Startup 中,添加一个变量 readonly string ganweiCosr = "AllowSpecificOrigins"; Startup.ConfigureServices 中,添加服务 services.AddCors(options => { opti...
.Net正式版中的一些Bug及其解决方案
★VS.Net编程★
07-04 965
(1)Session的问题问题: 在我的Windows.Net 3604 + .Net Framework正式版的编程环境中,.Net下的Session总是有问题,比如我在A程序下设置了一个Session字典,这个Session将会在B程序下读取,现在的情况就是我在B程序读取这个Session时,第一次能够正常读取,但一旦页面被提交(这在Asp.Net编程中是常有的事情),Session就会马上消
.net core 3.1 AllowAnonymous特性无效
elvismile的博客
01-16 8012
.net core 2.0 自定义权限过滤器和忽略验证的实现方式 继承Microsoft.AspNetCore.Mvc.Filters.IAuthorizationFilter实现自定义的过滤器 在不需要过滤器验证的Action或Controller上增加特性[AllowAnonymous] 在过滤器的OnAuthorization方法内对该特性进行判断,包含该特性的Controller或者Ac...
.net5微服务学习-API网关Ocelot(一)
Cqing
03-04 1090
环境准备 为了查看效果,新建三个WebApi项目,Api.Catalog、Api.Ordering、ApiGateway.Ocelot。 Ocelot 1、给ApiGateway.Ocelot项目添加Ocelot依赖 在VSCode里使用命令: dotnet add package Ocelot 2、添加Ocelot配置文件 在ApiGateway.Ocelot项目目录内添加ocelot.json文件,并添加以下配置信息: { "GlobalConfiguration".
Asp.Net Core EndPoint 终点路由工作原理解读
主宰
03-09 636
一、背景 在本打算写一篇关于Identityserver4的文章时候,却发现自己对EndPoint-终结点路由还不是很了解,故暂时先放弃了IdentityServer4的研究和编写;所以才产生了今天这篇关于EndPoint(终结点路由) 的文章。 还是跟往常一样,打开电脑使用强大的Google 和百度搜索引擎查阅相关资料,以及打开Asp.net core 3.1 的源代码进行拜读,同时...
这个程序有BUG吗?
最新发布
07-27
根据你给出的代码片段,我无法判断是否存在BUG。代码的正确与否取决于你的预期目标和具体需求。然而,我可以提供一些常见的错误和潜在问题,供你参考: 1. 变量声明:确保在使用变量之前进行了正确的声明和初始化。在你给出的代码片段中,`cout`和`endl`是C++标准库的输出流和换行符,需要包含头文件`<iostream>`来使用它们。 2. 循环条件:在循环中使用`std::cin >> val`作为条件时,需要确保输入流没有被关闭或发生错误,否则循环可能无法终止。 3. 输入错误处理:代码片段中没有提供对输入错误的处理。如果用户输入非整数值,或者输入流发生错误,代码可能会产生不正确的结果或陷入无限循环。 4. 输出格式:根据你的需求,可能需要调整输出格式。当前代码片段中,输出的结果是每个数字及其出现次数在一行上进行显示。 请仔细检查这些方面,并根据你的具体需求来评估代码是否存在BUG。如果你有更具体的问题或代码片段,请提供更多细节,我将尽力提供帮助。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

有态度的马甲

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值