专栏首页全栈码农画像深度解读.NET 5授权中间件的执行策略

深度解读.NET 5授权中间件的执行策略

前文提要

2021.1月份我写了一个《这难道不是.NET5 的bug? 在线求锤?》, 讲述了我在实现[全局授权访问+特例匿名访问] 遇到的技术困惑: [特例匿名访问,怎么走了认证流程?]。

博客园上某大佬的看法:

大概的意思是说 :不管是匿名访问还是鉴权访问,均先识别用户身份,再决定跳过授权/应用授权![有身份访问 MVC Login]这个场景可以佐证这个看法。

头脑风暴

后来我又仔细检视看了授权的源代码,发现并不完整, 请看官仔细观察我原文的示例, 端点路由还有一个[健康检查],端点加上了[AllowAnonymous]

endpoints.MapHealthChecks("/healthz").AllowAnonymous().WithDisplayName("healthz");

这个端点并没有进入认证流程,从授权中间件源码上看也是如此。

故官方源码是否能进入认证逻辑:关键是看端点上是否包含授权策略

var authorizeData = endpoint?.Metadata.GetOrderedMetadata<IAuthorizeData>() ?? Array.Empty<IAuthorizeData>();   
  var policy = await AuthorizationPolicy.CombineAsync(_policyProvider, authorizeData);
  if (policy == null)
 {
     await _next(context);
     return;
  }

健康检查端点直接应用了[AllowAnonymous](实际上你可以不加), 这样就没有授权策略(policy= null),这个时候自然跳过后续,进入业务逻辑。

甚至, 你可以这样写:endpoints.MapControllers().RequireAuthorization().AllowAnonymous().WithDisplayName("default"); 这样的代码也要进入认证逻辑,因为它包含了授权声明。

根据以上分析,.NET 5授权中间件的流程是这样的:

The official said:

Authorization is orthogonal and independent from authentication. However, authorization requires an authentication mechanism. Authentication is the process of ascertaining who a user is. Authentication may create one or more identities for the current user. 授权是正交的并且独立于验证。但是,授权需要身份验证机制。身份验证是确定用户身份的过程。认证可以为当前用户创建一个或多个身份。

思绪整理

我试图以一种流畅的、能自然其说的思路来理解官方的设计理念。

我们捋一捋:

当我“朴素的需求”到达端点时,端点第一时间拿到平铺的所有元数据metadata

(直接附加在端点上的声明信息 & MVC上附加的特性 & 全局附加的过滤器)

针对这种矛盾体元数据, 确实有不同的设计策略:

我理解的匿名优先:不需要认证;

官方认定的匿名优先,是在身份登记的前提下,匿名访问优先。

也许我将”匿名优先“与“无需认证”联系在一起,并不正确。 官方可是将AllowAnonymous 放在授权的范畴。

> Authorization components, including the AuthorizeAttribute and AllowAnonymousAttribute attributes, are found in the Microsoft.AspNetCore.Authorization namespace.

就这样吧, 匿名访问不表示"无需认证";匿名访问是"授权" 的控制范畴; 授权的前提是先认证。

本文分享自微信公众号 - Dotnet Plus(nodotnet),作者:小码甲

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2021-02-04

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • .Net Core 授权组件源码解析

    前面关于.Net Core如何进行用户认证的核心流程介绍完毕之后,.Net Core 认证系统之Cookie认证源码解析远程认证暂时不介绍,后期有时间,我会加上...

    郑小超.
  • 在 ASP.NET Core 应用中使用 Cookie 进行身份认证

    身份认证是网站最基本的功能,最近因为业务部门的一个需求,需要对一个已经存在很久的小工具网站进行改造,因为在逐步的将一些离散的系统迁移至 .NET Core,所以...

    程序员宇说
  • asp.net core 认证及简单集群

    众所周知,在Asp.net WebAPI中,认证是通过AuthenticationFilter过滤器实现的,我们通常的做法是自定义AuthenticationF...

    guokun
  • Windows 系统指令及服务

    ipconfig /all 获取ip地址 所在域 linux:ifconfig -a

    贝塔安全实验室
  • Core + Vue 后台管理基础框架3——后端授权

      但凡业务系统,授权是绕不开的一环。见过太多只在前端做菜单及按钮显隐控制,但后端裸奔的,觉着前端看不到,系统就安全,掩耳盗铃也好,自欺欺人也罢,这里不做评论。...

    guokun
  • Istio系列一:Istio的认证授权机制分析

    随着虚拟化技术的不断发展,以容器为核心的微服务概念被越来越多人认可,Istio因其轻量级、服务网格管理理念、兼容各大容器编排平台等优势在近两年脱颖而出,许多公司...

    绿盟科技研究通讯
  • 组策略限制3389登录的绕过方式

    要登录到这台远程计算机,您必须被授予允许通过终端服务登录的权限。默认地,“远程桌面用户”组的成员拥有该权限,如果您不是“远程桌面用户”组或其他拥有该权限的组的成...

    潇湘信安
  • 这难道不是.NET5的bug? 在线求锤?

    这是一个api项目,默认所有的api都需要授权, 少量散落在Controller各处的api不需要授权访问,故这里有个全局授权访问+特例匿名访问的矛盾。

    小码甲
  • ASP.NET虚拟主机的重大安全隐患

    说明:本文中所有程序均在Windows 2000 Server中文版 + SP2上编译运行无误 开发环境:.Net 框架1.0 Version 1.0.370...

    Java架构师必看

扫码关注云+社区

领取腾讯云代金券