asp.net core 自定义 Policy 替换 AllowAnonymous 的行为

最新推荐文章于 2024-04-02 21:51:10 发布
最新推荐文章于 2024-04-02 21:51:10 发布
阅读量689 收藏
点赞数
分类专栏: 技术
原文链接:https://www.colorgg.com
版权

asp.net core 自定义 Policy 替换 AllowAnonymous 的行为

Intro

最近对我们的服务进行了改造,原本内部服务在内部可以匿名调用,现在增加了限制,通过 identity server 来管理 api 和 client,网关和需要访问api的客户端或api服务相互调用通过 client_credencial 的方式来调用,这样一来我们可以清晰知道哪些 api 服务会被哪些 api/client 所调用,而且安全性来说更好。
为了保持后端服务的代码更好的兼容性,希望能够实现相同的代码通过在 Startup 里不同的配置实现不同的 Authorization 逻辑,原来我们的服务的 Authorize 都是以 Authorize("policyName") 的形式来写的,这样一来我们只需要修改这个 Policy 的授权配置就可以了。对于 AllowAnonymous 就希望可以通过一种类似的方式来实现,通过自定义一个 Policy 来实现自己的逻辑

实现方式

将 action 上的 AllowAnonymous 替换为 Authorize("policyName"),在没有设置 Authorize 的 controller 上增加 Authorize("policyName")

public class AllowAnonymousPolicyTransformer : IApplicationModelConvention
{
    private readonly string _policyName;

    public AllowAnonymousPolicyTransformer() : this("anonymous")
    {
    }

    public AllowAnonymousPolicyTransformer(string policyName) => _policyName = policyName;

    public void Apply(ApplicationModel application)
    {
        foreach (var controllerModel in application.Controllers)
        {
            if (controllerModel.Filters.Any(_ => _.GetType() == typeof(AuthorizeFilter)))
            {
                foreach (var actionModel in controllerModel.Actions)
                {
                    if (actionModel.Filters.Any(_ => _.GetType() == typeof(AllowAnonymousFilter)))
                    {
                        var allowAnonymousFilter = actionModel.Filters.First(_ => _.GetType() == typeof(AllowAnonymousFilter));
                        actionModel.Filters.Remove(allowAnonymousFilter);
                        actionModel.Filters.Add(new AuthorizeFilter(_policyName));
                    }
                }
            }
            else
            {
                if (controllerModel.Filters.Any(_ => _.GetType() == typeof(AllowAnonymousFilter)))
                {
                    var allowAnonymousFilter = controllerModel.Filters.First(_ => _.GetType() == typeof(AllowAnonymousFilter));
                    controllerModel.Filters.Remove(allowAnonymousFilter);
                }
                controllerModel.Filters.Add(new AuthorizeFilter(_policyName));
            }
        }
    }
}

public static class MvcBuilderExtensions
{
    public static IMvcBuilder AddAnonymousPolicyTransformer(this IMvcBuilder builder)
    {
        builder.Services.Configure<MvcOptions>(options =>
        {
            options.Conventions.Insert(0, new AllowAnonymousPolicyTransformer());
        });
        return builder;
    }

    public static IMvcBuilder AddAnonymousPolicyTransformer(this IMvcBuilder builder, string policyName)
    {
        builder.Services.Configure<MvcOptions>(options =>
        {
            options.Conventions.Insert(0, new AllowAnonymousPolicyTransformer(policyName));
        });
        return builder;
    }
}

controller 中的代码:

[Route("api/[controller]")]
public class ValuesController : Controller
{
    private readonly ILogger _logger;

    public ValuesController(ILogger<ValuesController> logger)
    {
        _logger = logger;
    }

    // GET api/values
    [HttpGet]
    public ActionResult<IEnumerable<string>> Get()
    {
        var msg = $"IsAuthenticated: {User.Identity.IsAuthenticated} ,UserName: {User.Identity.Name}";
        _logger.LogInformation(msg);
        return new string[] { msg };
    }

    // GET api/values/5
    [Authorize]
    [HttpGet("{id:int}")]
    public ActionResult<string> Get(int id)
    {
        return "value";
    }
    // ...
}

Startup 中 ConfigureServices 配置:

var anonymousPolicyName = "anonymous";

services.AddAuthorization(options =>
{
    options.AddPolicy(anonymousPolicyName, builder => builder.RequireAssertion(context => context.User.Identity.IsAuthenticated));

    options.DefaultPolicy = new AuthorizationPolicyBuilder(HeaderAuthenticationDefaults.AuthenticationSchema)
        .RequireAuthenticatedUser()
        .RequireAssertion(context => context.User.GetUserId<int>() > 0)
        .Build();
});

services.AddMvc(options =>
    {
        options.Conventions.Add(new ApiControllerVersionConvention());
    })
    .AddAnonymousPolicyTransformer(anonymousPolicyName)
    ;

实现效果

访问原来的匿名接口

with custom anonymous policy

userId 为0访问原来的匿名接口

with header authentication && userId <= 0

userId 大于0访问原来的匿名接口

with header authentication && userId > 0

userId 为0访问需要登录的接口
with header authentication && userId <= 0 && userId >0 required

userId 大于0访问需要登录的接口
with header authentication && userId > 0 && userId >0 required

More

注:按照上面的做法已经可以做到自定义 policy 代替 AllowAnonymous 的行为,但是原来返回的401,现在可能返回到就是 403 了

Reference

深蓝旭
关注
专栏目录
.Net Core6.0 WebAPI项目框架搭建五:JWT权限验证
yigu4011的博客
05-19 4183
在SetUp文件夹里面新建注册方法AuthorizationSetup.cs。这里就不过多的阐述了,直接上代码。在HomeController中新建Login接口来获取Token。在appsettings.json中配置jwt参数的值。上面我们是用的Admin的权限,所以会提示403错误。在program.cs里面注册服务,开启服务。SecretKey必须大于16个字符。新建JwtHelper.cs帮助类。解析出来的role是Admin。
ASP.NET CORE[练习10]-Identity-自定义Policy
修武FEN青
09-04 897
练习+博客,量化自己的进步! 之前的角色校验、Claim校验都是基于Policy的,也可以自定义Policy,更灵活些,更全面些,或者将之前的用户校验、Claim校验合并到自定义Policy中。 policy的内置方法有: RequireClaim 必须的Claim RequireRole 必须的角色 RequireUserName 必须的用户名 自定已po...
.NET 黑魔法 - asp.net core 身份认证 - Policy
12-14 303
身份认证几乎是每个项目都要集成的功能,在面向接口(Microservice)的系统中,我们需要有跨平台,多终端支持等特性的认证机制,基于token的认证方式无疑是最好的方案。今天我们就来介绍下在.Net Core版本中如何做一个自己的身份认证系统。 首先,本篇文章介绍的方式是基于Policy。 我们希望有一个这样的方式来给Controller或Action添加身份认证,将它灵活的添加...
.Net Core Policy 基于策略授权
热门推荐
csdn_aspnet的专栏
01-30 3万+
ASP.NET Core中,重新设计了一种更加灵活的授权方式:基于策略的授权, 它是授权的核心.在使用基于策略的授权时,首先要定义授权策略,而授权策略本质上就是对Claims的一系列断言。基于角色的授权和基于Scheme的授权,只是一种语法上的便捷,最终都会生成授权策略。除了OperationAuthorizationRequirement外,都有对应的快捷添加方法,比如RequireClaim,RequireRole,RequireUserName等。新建类 PermissionHandler。
.net core 3.1 Policy 策略授权揭秘
fqydhk的专栏
03-16 3188
交流QQ群:555913397 有什么问题可以加群大家一起交流 上次探究了core 3.1的自定义授权handler,这次带领大家来试试自带的Policy策略授权.好了废话不都说,一切都在代码中. 先创建存储许可的属性类 namespace CoreMvc.Utinity.Models { /// <summary> /// 许可项 /// </s...
ASP.NET Core中的安全最佳实践
ASP.NET Core安全基础 ASP.NET Core作为一个强大的开发平台,提供了丰富的安全功能,能够帮助开发人员构建安全可靠的应用程序。本章将介绍ASP.NET Core中的安全基础知识,包括安全性的概念、身份验证和授权机制...
ASP.NET Core中的身份验证与授权
ASP.NET Core中的身份验证和授权概述 ## 1.1 身份验证和授权的基本概念 身份验证(Authentication)是确认用户身份真实性的过程,通过验证用户提供的凭据(如用户名和密码)来确认其身份。授权(Authorization)是...
ASP.NET Core 5中的身份验证和授权
ASP.NET Core 5身份验证和授权简介 ## 1.1 什么是身份验证和授权? 身份验证(Authentication)是确认用户身份的过程,通常涉及用户提供凭据以验证其身份。而授权(Authorization)则确定用户是否具有执行特定操作...
ASP.NET Core中身份验证与授权的实现
## 1.1 ASP.NET Core身份验证与授权的重要性 身份验证与授权是现代 Web 应用程序中至关重要的部分。它们帮助我们确保用户身份的合法性,并限制访问敏感信息和功能的权限。在 ASP.NET Core 中,身份验证与授权有着...
ASP.NET Core 基础知识】--身份验证和授权--授权和策略
喵叔
01-30 2047
ASP.NET Core中,授权和策略是关键的安全概念。授权确定用户是否有权限执行某操作或访问资源,而策略是组织授权规则的集合。通过使用属性,可以将授权规则应用到控制器或操作方法。自定义策略处理程序通过实现接口提供灵活的授权逻辑。在Startup.cs中,可以注册策略处理程序和定义策略。身份验证方案可以通过属性或在Startup.cs中配置来限制访问。这样,ASP.NET Core提供了强大而灵活的身份验证和授权机制,用于实现应用程序的安全访问控制。
.Net Core MVC实现自己的AllowAnonymous
weixin_30947043的博客
10-31 570
全局过滤,在Startup中ConfigureServices里面添加如下代码 services.AddMvc(options => { options.Filters.Add(typeof(MyActionFilterAttribute)); }).SetCompatibilityV...
.net core 3.1 AllowAnonymous特性无效
elvismile的博客
01-16 8078
.net core 2.0 自定义权限过滤器和忽略验证的实现方式 继承Microsoft.AspNetCore.Mvc.Filters.IAuthorizationFilter实现自定义的过滤器 在不需要过滤器验证的Action或Controller上增加特性[AllowAnonymous] 在过滤器的OnAuthorization方法内对该特性进行判断,包含该特性的Controller或者Ac...
.NET Core OAuth IdentityServer4 Token AllowAnonymous 刷新token RefreshToken Postman截图
KingCruel的专栏
03-21 4244
身份验证和 ASP.NET Web API 中的授权IdentityServer4 Reference TokenIdentityServer4 1.0.0 documentation(官网) 业务逻辑 ● 搭建 授权服务器 和 资源服务器 ● 给App客户端发放 AppId 和 AppSecret ● 用户向App客户端提供自己的 账号 和 密码 ● App客户端将AppId、AppSe...
.NET Core OAuth IdentityServer4 AllowAnonymous Policy 白名单 .NET 5 IdentityServer4 4.X版本 授权策略
KingCruel的专栏
11-15 877
在.NET Core 3.XController中配置[AllowAnonymous] 1、 * * * * * * *
NetCore通过中间件判断接口是否存在 AllowAnonymousAttribute 特性
最新发布
让梦想疯狂
04-02 330
特性来判断一个接口是否被标记为允许匿名访问。以下是一个简单的中间件示例,用于在请求管道中检查接口是否被。.NET Core中,可以通过检查接口上的。在应用程序中使用此中间件,将其添加到。
.NET Core自定义策咯
chinaherolts2008的博客
02-22 314
services.AddAuthorization(options => { options.AddPolicy("AdminPolicy", policyBuilder => policyBuilder .RequireRole("Admin")//Claim的Role是Admin .RequireUserName("E
.Net Core权限认证基于Cookie的认证&授权.Scheme、Policy扩展
diezuo9326的博客
09-26 1112
在身份认证中,如果某个Action需要权限才能访问,最开始的想法就是,哪个Action需要权限才能访问,我们写个特性标注到上面即可,[TypeFilter(typeof(CustomAuthorizeActionFilterAttribute))] /// <summary> /// 这是一个Action的Filter` 但是用作权限验证 /// </s...
ABP中的[AllowAnonymous]作用是什么?
dongnihao的博客
05-16 1839
AllowAnonymous] 是一个特性标记(attribute),可以应用在 ASP.NET Core MVC 或者 Web API 应用程序的控制器或方法上。它的作用是允许未经认证的用户匿名访问带有身份验证限制的控制器和方法。如果您想要允许某些操作不需要身份验证,也不需要注册,请使用 [AllowAnonymous] 特性标记。例如,在您的 Web 应用程序中,您可以使用 [AllowAnonymous] 特性标记来允许任何人可以查看博客文章列表页面,而无需进行身份验证。
asp.net core jwt demo
06-02
以下是一个 ASP.NET Core JWT 的示例代码,包含生成 Token 和验证 Token 的过程: ```csharp using Microsoft.AspNetCore.Authentication.JwtBearer; using Microsoft.AspNetCore.Authorization; using Microsoft....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值