一.概述
问题:
在使用 asp.net core api 做业务开发时,在本地vs开发环境,部署后的测试环境,都需要先获取access_token,才能访问api接口,这样浪费了调试与测试时间。
现状:
我这里是通过Apollo 配置中心定义了二套配置环境,一是Dev环境:用于本地vs开发环境,部署后的测试环境; 二是:Pro环境用于生产环境。
通过keycloak 认证授权服务器来保护api资源,在Controller或Action上加[Authorize] 或[AllowAnonymous] 来确定是否需要接口鉴权
解决思路
由于C#的Attribute 是不能通过代码来进行动态的添加和删除,所以需要自定义鉴权Attribute来替换[Authorize]。
二.实现关键代码
2.1在Program.cs中获取环境
//打印阿波罗环境变量
var env = builder.Configuration.GetSection("Env").Value;
//判断是否要进行接口认证
TokenUtil.IsAuth = env.ToLower().Contains("pro") ? true : false;
2.2 自定义DynamicAuthorizationAttribute.cs类
/// <summary>
/// 根据阿波罗配置的环境(Dev,Pro),动态判断是否需要接口鉴权
/// Dev环境不用接口鉴权
/// </summary>
public class DynamicAuthorizationAttribute : Attribute, IAuthorizationFilter
{
public void OnAuthorization(AuthorizationFilterContext context)
{
//不做鉴权
if (!TokenUtil.IsAuth)
return;
//不做鉴权
var endpoint = context.HttpContext.GetEndpoint();
if (endpoint == null)
return;
//如果Controller或Action上标记了[AllowAnonymous],不做鉴权
var metadata = endpoint.Metadata.GetOrderedMetadata<IAllowAnonymous>();
if (metadata.Any())
return;
//是否通过access_token获取到用户信息
var isAuth = context.HttpContext.User.Identity.IsAuthenticated;
if (!isAuth)
{
//没有权限时返回401错误
context.Result = new UnauthorizedResult();
}
}
}
2.3在Controller基数加入[DynamicAuthorization]
/// <summary>
/// 辅助基类控制器
/// </summary>
// [Authorize]
[DynamicAuthorization]
[ApiController]
[Route("Auxiliary/[controller]/[action]")]
public class AuxiliaryControllerBase : Controller
{
}