authorization_一张大图了解ASP.NET Core 3.1中的Authentication与Authorization

最新推荐文章于 2024-06-21 10:06:04 发布
最新推荐文章于 2024-06-21 10:06:04 发布
阅读量261 收藏 1
点赞数
文章标签: authorization 获取authorization

(给DotNet加星标,提升.Net技能)

转自:Johnny Qian johnnyqian.net/blog/aspnet-core-3.1-authentication-and-authorization/

下面是一张ASP.NET Core 3.1 中关于Authentication与Authorization的主流程框线图,可以点击放大查看全图。

2680349c44d0c9e97cb5c82cd7dfaa74.png

重要组件

一些重要的组件及其源码链接如下:

Authentication

f9c9b35f00034621657410411d7fd986.png

Authorization

96ae9a246ce08424110073e20b7a566b.png

Middleware与这些Components之间通过一些扩展方法链接起来:

  • src/Http/Authentication.Abstractions/src/AuthenticationHttpContextExtensions.cs

  • src/Security/Authentication/Core/src/AuthAppBuilderExtensions.cs

  • src/Security/Authentication/Core/src/AuthenticationServiceCollectionExtensions.cs

  • src/Http/Authentication.Core/src/AuthenticationCoreServiceCollectionExtensions.cs

  • src/Security/Authorization/Policy/src/AuthorizationAppBuilderExtensions.cs

  • src/Security/Authorization/Policy/src/PolicyServiceCollectionExtensions.cs

  • src/Security/Authorization/Core/src/AuthorizationServiceCollectionExtensions.cs

几点分析

  • 与Authentication和Authorization相关的组件基本是对称存在的,有几个命名不一致。

  • 与AuthenticationHandler相关的具体实现有很多,这是因为认证的逻辑是通用的,可以由外部的身份提供者来完成。

  • 从AuthorizationMiddleware的路径可以看出,ASP.NET Core中的Authorization是基于Policy的。

  • IAuthenticationHandlerProvider中的接口GetHandlerAsync,它是根据authenticationScheme来获取某一个Handler,只要这个Handler认证成功则整个认证流程完成;相对应的IAuthorizationHandlerProvider中的接口GetHandlersAsync则是获取一批Handlers(注意是复数)来共同决定授权的结果。

  • 个人认为有一些Components放置的目录不合理,例如AuthenticationHandlerProvider,AuthenticationService,AuthenticationCoreServiceCollectionExtensions。

  • 基于安全的考虑,ASP.NET Core 不再内置支持Basic Authentication,开发者可以自行编写相应的AuthenticationHandler。

  • 这两个Middleware都是面向接口开发的,借助于DI,开发者可以改变Pipeline的处理逻辑。

几个问题

Authentication的结果存放在哪里?

Authentication的结果由AuthenticationMiddleware中的如下代码片段确定:

var defaultAuthenticate = await Schemes.GetDefaultAuthenticateSchemeAsync();
if (defaultAuthenticate != null)
{
var result = await context.AuthenticateAsync(defaultAuthenticate.Name);
if (result?.Principal != null)
    {
        context.User = result.Principal;
    }
}
await _next(context);

这段代码先获取默认的认证Scheme,接着调用HttpContext的扩展方法AuthenticateAsync(该方法实际由IAuthenticationService来提供)来获取AuthenticateResult,然后将认证结果中的Principal赋给HttpContext的User属性,最后将请求传递给下一个Middleware(通常是AuthorizationMiddleware)。

从上面的代码段可以看出,在一个注册了AuthenticationMiddleware和AuthorizationMiddleware的ASP.NET Core项目中,即使Authentication过程失败了(即context.User为null),AuthorizationMiddleware也是会运行的。

如何判断Authorization的成功与否?

同样的,Authorization的成功与否是由AuthorizationMiddleware来确定的,相关的代码片段如下:

var authorizeResult =
await policyEvaluator.AuthorizeAsync(policy, authenticateResult, context, resource: endpoint);
if (authorizeResult.Challenged)
{
if (policy.AuthenticationSchemes.Count > 0)
    {
foreach (var scheme in policy.AuthenticationSchemes)
        {
await context.ChallengeAsync(scheme);
        }
    }
else
    {
await context.ChallengeAsync();
    }
return;
}
else if (authorizeResult.Forbidden){
if (policy.AuthenticationSchemes.Count > 0)
    {
foreach (var scheme in policy.AuthenticationSchemes)
        {
await context.ForbidAsync(scheme);
        }
    }
else
    {
await context.ForbidAsync();
    }
return;
}
await _next(context);

这段代码先调用policyEvaluator的AuthorizeAsync方法(该方法会调用IAuthorizationService的AuthorizeAsync方法)来获取PolicyAuthorizationResult:

var result = await _authorization.AuthorizeAsync(context.User, resource, policy);
if (result.Succeeded)
{
return PolicyAuthorizationResult.Success();
}
// If authentication was successful, return forbidden, otherwise challenge
return (authenticationResult.Succeeded)
    ? PolicyAuthorizationResult.Forbid()
    : PolicyAuthorizationResult.Challenge();

需要注意的是,在Authorization的流程中是需要借助于Authentication流程的结果以便确定在Authorization失败后是否返回Challenge(401)还是Forbid(403)。

然后这段代码根据PolicyAuthorizationResult来调用HttpContext的扩展方法ChallengeAsync或ForbidAsync,并终止整个请求处理流程;或者将请求传递给下一个Middleware(通常是EndpointRoutingMiddleware,也即是我们常说的MVC Middleware)。HttpContext的扩展方法ChallengeAsync和ForbidAsync是由IAuthenticationService来提供的。

我们再深入到DefaultAuthorizationService中来了解下多个AuthorizationHandler是如何一起工作的:

var authContext = _contextFactory.CreateContext(requirements, user, resource);
var handlers = await _handlers.GetHandlersAsync(authContext);
foreach (var handler in handlers)
{
await handler.HandleAsync(authContext);
if (!_options.InvokeHandlersAfterFailure && authContext.HasFailed)
    {
break;
    }
}
var result = _evaluator.Evaluate(authContext);

从上述代码可以看到,在InvokeHandlersAfterFailure为true的情况下(默认为true),所有注册了的AuthorizationHandler都会被执行。

接着,代码调用IAuthorizationEvaluator中的Evaluate方法对整个授权流程进行评估,本质上是检查AuthorizationHandlerContext中的HasSucceeded属性,其代码如下:

/// 
/// Flag indicating whether the current authorization processing has succeeded.
/// 
public virtual bool HasSucceeded
{
get
    {
return !_failCalled && _succeedCalled && !PendingRequirements.Any();
    }
}

可以看到,授权成功的条件是:

  • 没有任何一个AuthorizationHandler显式调用了context.Fail

  • 至少有一个AuthorizationHandler显式调用了context.Succeed

  • PendingRequirements这个集合为空,也即是所有的requirements都被满足了

基本原则是,AuthorizationHandler一般不需要显式调用context.Fail,除非开发者认为某一个requirement必须被当前的AuthorizationHandler满足。针对同一个requirement,其它的AuthorizationHandler可能会依据某些条件认为该requirement是满足的。

这里有个问题是,如果某一个AuthorizationHandler显式调用了context.Fail,那么整个授权流程的结果就是失败的。

那么此时为什么还要继续执行其它的AuthorizationHandler(InvokeHandlersAfterFailure默认为true),而不是快速失败(fail-fast)?官方文档给出的解释如下:

If a handler calls context.Succeed or context.Fail, all other handlers are still called. This allows requirements to produce side effects, such as logging, which takes place even if another handler has successfully validated or failed a requirement. When set to false, the InvokeHandlersAfterFailure property (available in ASP.NET Core 1.1 and later) short-circuits the execution of handlers when context.Fail is called. InvokeHandlersAfterFailure defaults to true, in which case all handlers are called.

[AllowAnonymous]属性是如何工作的?

[AllowAnonymous]属性可以绕开(bypass)整个授权流程,即使相应的Controller或者Action上有[Authorize]属性。这也是由AuthorizationMiddleware中的一段代码来实现的:

// Allow Anonymous skips all authorization
if (endpoint?.Metadata.GetMetadata() != null)
{await _next(context);return;
}

参考文章

  • ASP.NET Core Middleware

  • ASP.NET Core authentication

  • ASP.NET Core authorization

  • Policy-based authorization in ASP.NET Core

  • ASP.NET Core - Middleware

  • ASP.NET Core in Action - What is middleware?

  • ASP.NET Core middleware and authorization

  • ASP.NET Core 中的那些认证中间件及一些重要知识点

  • ASP.NET Core 中的管道机制

推荐阅读   点击标题可跳转 一起读源码走进C#并发队列的内部世界 .NET微服务实践:微服务框架选型 ASP.NET Core Kestrel免费实现https

看完本文有收获?请转发分享给更多人

关注「DotNet」加星标,提升.Net技能 

82c2a97b71424a89e7b3e167c5e83ecf.png

好文章,我在看❤️

weixin_39590601
关注
Asp.net Core 3.1 JWT 认证Demo
12-27
这个Demo展示了如何在Asp.NET Core 3.1环境实现JWT认证。 首先,JWT的基本概念是至关重要的。JWT是一个自包含的、安全的身份验证令牌,由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。头部...
asp.net core的认证和授权
weixin_34261739的博客
09-01 342
asp.net core,微软提供了基于认证(Authentication)和授权(Authorization)的方式,来实现权限管理的,本篇博文,介绍基于固定角色的权限管理和自定义角色权限管理,本文内容,更适合传统行业的BS应用,而非互联网应用。在asp.net core,我们认证(Authentication)通常是在Login的Post Action进行用户名或密码来验证用户是否正确...
Java-SpringBoot:用户认证(Authentication)和用户授权(Authorization
AL ZN的博客
05-07 8787
Java安全框架Spring Security、shiro,完成的工作是用户认证(Authentication)和用户授权(Authorization)。用户验证指验证用户是否为系统的合法主体;用户授权是验证某个用户是否有权限执行某个操作
Asp.net core Authoriation Middleware实现权限控制的例子
最新发布
exlink2012的专栏
06-21 510
ASP.NET Core Authorization Middleware 是 ASP.NET Core 框架用于处理授权的间件组件。它允许开发者在应用程序实现细粒度的访问控制,确保只有合适的用户才能访问特定的资源或执行特定的操作。
ASP.Net CoreAuthorization的几种方式
热门推荐
Freewind的专栏
06-25 1万+
Authorization其目标就是验证Http请求能否通过验证。ASP.Net Core提供了很多种Authorization方式,详细可以参考 微软官方文档。在这里只详细介绍三种方式:PolicyMiddlewareCustom Attribute1. Policy : 策略授权先定义一个IAuthorizationRequirement类来定义策略的要求,以下例子支持传递一个age参数。 ...
Xxx.Middlewares.Api -> NET5 API 签名 授权 间件 ApiAuthorizationMiddleware 使用帮助文档
天外有天,人外有人。 专注品质 不断创新 让精益求精成为习惯
11-16 472
1.引用Nuget Xxx.Middlewares.Api 2.准备配置文件(服务器端) 支持两种模式 AuthMode:200 -> 配置了 ApiAuthorizationAttribute 特性的进行校验签名信息 AuthMode:100 -> 所有Request 均 校验 签名信息 示例 使用的是 配置 ApiAuthorizationAttribute 特性的模式 3.Startup.cs配置(服务器端) 配置文件注入 和 AddApiAuthorizationMiddlewa
一张大图了解ASP.NET Core 3.1 AuthenticationAuthorization
dotNET跨平台
04-08 1983
下面是一张ASP.NET Core 3.1 关于AuthenticationAuthorization的主流程框线图,点击这里查看全图:https://johnnyqian.net...
aspnet-core-3-basic-authentication-api:ASP.NET Core 3.1-基本的HTTP身份验证API
01-30
ASP.NET Core 3.1是Microsoft开发的一个开源框架,用于构建高性能、现代化的Web应用程序。在ASP.NET Core,身份验证是确保只有经过验证的用户能够访问受保护资源的关键组件。基本的HTTP身份验证(Basic ...
aspnet-core-3-jwt-authentication-api:ASP.NET Core 3.1 JWT身份验证API
01-30
ASP.NET Core 3.1,我们可以利用内置的间件和库来实现JWT认证。 首先,JWT的原理是将用户凭证(如用户名和密码)验证成功后,服务器会生成一个包含必要信息的令牌,如用户ID、过期时间等,这些信息经过编码和...
Asp.net-Core-3.1-JWT-身份验证
01-30
ASP.NET Core 3.1 JWT 身份验证是一种安全机制,用于保护Web应用程序的API接口。JWT(Json Web Tokens)是一种轻量级的身份验证和授权机制,它允许服务器通过发送一个可验证的令牌来确认客户端的身份,而无需在...
aspnet-core-3-jwt-refresh-tokens-api:ASP.NET Core 3.1 API-带有刷新令牌的JWT身份验证
04-14
ASP.NET Core 3.1 API 是一个用于构建Web应用程序和服务的高效、开源框架。在这个项目,我们将专注于实现JWT(Json Web Tokens)身份验证,并且包括了刷新令牌功能,这在现代Web应用是一个重要的安全实践。JWT...
ASP.NET Core 6.0 整合 JWT
qq_55069674的博客
01-11 1882
ASP .NETCore 整合JWT
ASP.NET Core 基础知识】--身份验证和授权--授权和策略
喵叔
01-30 1978
ASP.NET Core,授权和策略是关键的安全概念。授权确定用户是否有权限执行某操作或访问资源,而策略是组织授权规则的集合。通过使用属性,可以将授权规则应用到控制器或操作方法。自定义策略处理程序通过实现接口提供灵活的授权逻辑。在Startup.cs,可以注册策略处理程序和定义策略。身份验证方案可以通过属性或在Startup.cs配置来限制访问。这样,ASP.NET Core提供了强大而灵活的身份验证和授权机制,用于实现应用程序的安全访问控制。
Ocelot.Authorization.Middleware.AuthorizationMiddleware[0] requestId: 0HMJ300E5APNA:00000002...
qq_39788123的博客
07-11 487
ocelot与consul之间的报错 请求接口时报的错
Asp.Net Core Authorize你不知道的那些事(源码解读)
04-10 339
一、前言 IdentityServer4已经分享了一些应用实战的文章,从架构到授权心的落地应用,也伴随着对IdentityServer4掌握了一些使用规则,但是很多原理性东西还是一知半解,故我这里持续性来带大家一起来解读它的相关源代码,本文先来看看为什么Controller或者Action添加Authorize或者全局添加AuthorizeFilter过滤器就可以实现该资源受到保护,需要通过access_token才能通过相关的授权呢?今天我带大家来了解AuthorizeAttribute和Auth.
authorization如何获取_如何跟CXK讲解OAuth2.0
weixin_42509796的博客
12-22 1756
如何理解OAuth2.0OAuth2.0的产生主要是为了安全简单理解:启动流程我们现在要通过QQ登录一个网站,但不希望告知QQ用户名以及密码,同意给予部分信息(头像,性别等) https://graph.qq.com/oauth2.0/show?which=Login&display=pc&client_id=1688888&redirect_uri=https%3A%2F...
java 获取Authorization信息
weixin_45873444的博客
01-18 4843
java 获取Authorization信息
ASP.NET Core3.1 Ocelot的认证配置与JWT令牌使用
ASP.NET Core 3.1,Ocelot作为一个API网关,扮演着连接客户端与下游服务的角色。为了确保安全,下游服务通常需要对访问请求进行认证和鉴权。Ocelot为此提供了集成身份验证的功能,允许在配置添加认证服务,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值