[C#].Net Core下全局自定义身份过滤器使用AllowAnonymous属性

假设一种情况:项目中需要做认证和权限控制,而且需要权限才能访问的控制器要远多于可以匿名访问的(类似AO系统那样,登陆了才能用)。

那在每个控制器上加一个 [Authorize] 是能解决问题,反正正我是觉得麻烦。

而且Core自带的权限认证机制不满足于复杂的身份权限认证,打算像在Framework中一样注册一个全局过滤器,然后用 [AllowAnonymous] 来放行可以匿名的控制器或者方法。

按照官方文档,自定义身份过滤器推荐实现 IAuthorizationFilter 或者 IAsyncAuthorizationFilter 接口,再顺便给他们定义为中间件更好。

例如

     public class MyAuthorizeFilter : IAuthorizationFilter
{
public void OnAuthorization(AuthorizationFilterContext context)
{
//do something... }
} public class MyAsyncAuthorizeFilter : IAsyncAuthorizationFilter
{
public Task OnAuthorizationAsync(AuthorizationFilterContext context)
{
//do someting... }
}
MyAuthorizeFilter

然后在Startup.cs中注册全局过滤器

         public void ConfigureServices(IServiceCollection services)
{
services.AddMvc(option => { option.Filters.Add(typeof(MyAuthorizeFilter)); });
}

可是运行时发现,自定义的过滤器无法阻止那些没有授权的请求!这是为什么?

在控制器上加上  [Authorize] 调试

[C#].Net Core下全局自定义身份过滤器使用AllowAnonymous属性

发现实际上我的过滤器已经被加到了过滤器列队里,但是本身并没有执行任何动作。

其实这里也是我自己犯傻了,人家就是一个接口而已,肯定没有任何操作,单纯继承接口以后指望人家能做什么呢。

那我们既要实现原生的权限认证机制(毕竟像未登录跳转等功能不用自己实现了),还要增加自定义的认证机制。

后来发现 [Authorize] 属性会被注册为AuthorizeFliter过滤器。那就妥了,继承然后重写其实现就好。

我的过滤器就变成了这样。

 public class MyAuthorizeFilter : AuthorizeFilter
{ private static AuthorizationPolicy _policy_ = new AuthorizationPolicy(new[] { new DenyAnonymousAuthorizationRequirement() }, new string[] { }); public MyAuthorizeFilter() : base(_policy_) { } public override async Task OnAuthorizationAsync(AuthorizationFilterContext context)
{
await base.OnAuthorizationAsync(context);
Console.WriteLine("权限检测");
}
}

说明一下实现AuthorizeFilter基类,必须有一个过滤策略,也就是,这里我采用的是最基础的DenyAnonymousAuthorizationRequirement(阻止匿名身份的请求)

运行,过滤器可以正常过滤没有授权的请求了,但是无论授权与否,或者是否可匿名访问,均会执行“权限检测”那里。

这是为啥?

继续调试。

[C#].Net Core下全局自定义身份过滤器使用AllowAnonymous属性

发现 [AllowAnonymous] 也被注册成了过滤器。

修改代码,最终成了这样

     public class MyAuthorizeFilter : AuthorizeFilter
{ private static AuthorizationPolicy _policy_ = new AuthorizationPolicy(new[] { new DenyAnonymousAuthorizationRequirement() }, new string[] { }); public MyAuthorizeFilter() : base(_policy_) { } public override async Task OnAuthorizationAsync(AuthorizationFilterContext context)
{
await base.OnAuthorizationAsync(context);
if (!context.HttpContext.User.Identity.IsAuthenticated ||
context.Filters.Any(item => item is IAllowAnonymousFilter)) return;
//do something
}
}

仅作为一个简单的学习笔记。如果有更好的方法欢迎指教。

又及:

在某篇博客中见过一个问题,大概就是说 context.HttpContext.User.Identity.IsAuthenticate 的值恒定false,后来采用了一大堆不啦不啦的方法自己实现了获取认证状态的方法。这篇博客我找不到了。

我也遇到了类似的问题,后来发现是在startup的Configure中没有启用身份认证 app.UseAuthentication() ,根据自己的方法自行选择,例如我后来用IdentityServer4,就变成了 app.UseIdentityServer();

上一篇:IIS - HTTP 错误 500.21 - Internal Server Error 处理程序“WebServiceHandlerFactory-Integrated”在其模块列表中有一个错误模块“ManagedPipelineHandler”


下一篇:将TUM数据集的RGB-D数据集转化为klg格式