假设一种情况:项目中需要做认证和权限控制,而且需要权限才能访问的控制器要远多于可以匿名访问的(类似AO系统那样,登陆了才能用)。
那在每个控制器上加一个 [Authorize] 是能解决问题,反正正我是觉得麻烦。
而且Core自带的权限认证机制不满足于复杂的身份权限认证,打算像在Framework中一样注册一个全局过滤器,然后用 [AllowAnonymous] 来放行可以匿名的控制器或者方法。
按照官方文档,自定义身份过滤器推荐实现 IAuthorizationFilter 或者 IAsyncAuthorizationFilter 接口,再顺便给他们定义为中间件更好。
例如
public class MyAuthorizeFilter : IAuthorizationFilter
{
public void OnAuthorization(AuthorizationFilterContext context)
{
//do something... }
} public class MyAsyncAuthorizeFilter : IAsyncAuthorizationFilter
{
public Task OnAuthorizationAsync(AuthorizationFilterContext context)
{
//do someting... }
}
MyAuthorizeFilter
然后在Startup.cs中注册全局过滤器
public void ConfigureServices(IServiceCollection services)
{
services.AddMvc(option => { option.Filters.Add(typeof(MyAuthorizeFilter)); });
}
可是运行时发现,自定义的过滤器无法阻止那些没有授权的请求!这是为什么?
在控制器上加上 [Authorize] 调试
发现实际上我的过滤器已经被加到了过滤器列队里,但是本身并没有执行任何动作。
其实这里也是我自己犯傻了,人家就是一个接口而已,肯定没有任何操作,单纯继承接口以后指望人家能做什么呢。
那我们既要实现原生的权限认证机制(毕竟像未登录跳转等功能不用自己实现了),还要增加自定义的认证机制。
后来发现 [Authorize] 属性会被注册为AuthorizeFliter过滤器。那就妥了,继承然后重写其实现就好。
我的过滤器就变成了这样。
public class MyAuthorizeFilter : AuthorizeFilter
{ private static AuthorizationPolicy _policy_ = new AuthorizationPolicy(new[] { new DenyAnonymousAuthorizationRequirement() }, new string[] { }); public MyAuthorizeFilter() : base(_policy_) { } public override async Task OnAuthorizationAsync(AuthorizationFilterContext context)
{
await base.OnAuthorizationAsync(context);
Console.WriteLine("权限检测");
}
}
说明一下实现AuthorizeFilter基类,必须有一个过滤策略,也就是,这里我采用的是最基础的DenyAnonymousAuthorizationRequirement(阻止匿名身份的请求)
运行,过滤器可以正常过滤没有授权的请求了,但是无论授权与否,或者是否可匿名访问,均会执行“权限检测”那里。
这是为啥?
继续调试。
发现 [AllowAnonymous] 也被注册成了过滤器。
修改代码,最终成了这样
public class MyAuthorizeFilter : AuthorizeFilter
{ private static AuthorizationPolicy _policy_ = new AuthorizationPolicy(new[] { new DenyAnonymousAuthorizationRequirement() }, new string[] { }); public MyAuthorizeFilter() : base(_policy_) { } public override async Task OnAuthorizationAsync(AuthorizationFilterContext context)
{
await base.OnAuthorizationAsync(context);
if (!context.HttpContext.User.Identity.IsAuthenticated ||
context.Filters.Any(item => item is IAllowAnonymousFilter)) return;
//do something
}
}
仅作为一个简单的学习笔记。如果有更好的方法欢迎指教。
又及:
在某篇博客中见过一个问题,大概就是说 context.HttpContext.User.Identity.IsAuthenticate 的值恒定false,后来采用了一大堆不啦不啦的方法自己实现了获取认证状态的方法。这篇博客我找不到了。
我也遇到了类似的问题,后来发现是在startup的Configure中没有启用身份认证 app.UseAuthentication() ,根据自己的方法自行选择,例如我后来用IdentityServer4,就变成了 app.UseIdentityServer();