.net core 3.1 AllowAnonymous特性无效

企业开发 2020-01-18 10:26:07 阅读次数: 0

.net core 2.0 自定义权限过滤器和忽略验证的实现方式

  • 继承Microsoft.AspNetCore.Mvc.Filters.IAuthorizationFilter实现自定义的过滤器
  • 在不需要过滤器验证的Action或Controller上增加特性[AllowAnonymous]
  • 在过滤器的OnAuthorization方法内对该特性进行判断,包含该特性的Controller或者Action跳过验证逻辑代码。具体判断方式如下:
/// <summary>
/// 判断当前请求的context.Filters是否包含IAllowAnonymousFilter;
/// 包含代表当前Action需要忽略权限验证逻辑。
/// </summary>
/// <param name="context"></param>
/// <returns></returns>
private bool HasAllowAnonymous(AuthorizationFilterContext context)
	=> context.Filters.Any(item => item is IAllowAnonymousFilter);

需要忽略登陆验证的Action写法如下:

/// <summary>
/// Action或者Controller增加特性:AllowAnonymous
/// 将会跳过过滤器的验证逻辑,HasAllowAnonymous会返回true。
/// </summary>
[HttpGet, AllowAnonymous]
public IActionResult Get()
{
	var data = new
    {
		ts = DateTime.Now.TotalSeconds()
	};
	return new JsonResult(data);
}

但是以上写法,当项目升级到.net core 3.1之后,发现HasAllowAnonymous的判断失效了,也就是context.Filters中没有类型为IAllowAnonymousFilter的过滤器了,导致无法判断到指定的Controller或者Action添加了允许匿名访问的特性。

3.1失效的原因解释

本着面向百度编程的思想翻阅了众多博客,并没有得到特别完美的答复,一怒之下去github翻阅了微软的源代码(微软自己实现的一套权限验证过滤器中也用此类方式实现了判断允许匿名访问)让我们看看微软的验证方法的源代码吧!

 private bool HasAllowAnonymous(AuthorizationFilterContext context)
 {
     var filters = context.Filters;
     for (var i = 0; i < filters.Count; i++)
     {
         if (filters[i] is IAllowAnonymousFilter)
         {
             return true;
         }
     }

     // When doing endpoint routing, MVC does not add AllowAnonymousFilters for AllowAnonymousAttributes that
     // were discovered on controllers and actions. To maintain compat with 2.x,
     // we'll check for the presence of IAllowAnonymous in endpoint metadata.
     var endpoint = context.HttpContext.GetEndpoint();
     if (endpoint?.Metadata?.GetMetadata<IAllowAnonymous>() != null)
     {
         return true;
     }

     return false;
 }

以上是微软的源代码,来自.net core 源码库,具体文件链接地址:https://github.com/dotnet/aspnetcore/blob/master/src/Mvc/Mvc.Core/src/Authorization/AuthorizeFilter.cs
特别注意!亮点在这段英文的注释上:When doing endpoint routing, MVC does not add AllowAnonymousFilters for AllowAnonymousAttributes。
大概含义是:如果项目开启了终结点路由(Endpoint),MVC不会为AllowAnonymous特性自动添加AllowAnonymousFilter。
AllowAnonymous
看到这,问题的根本原因清晰了:在.net core 2.0时代,微软默认没有开启Endpoint,也就是当Controller或者Action设置了AllowAnonymous特性,将会为请求自动添加AllowAnonymousFilter,这就回到了上文提到的2.0项目中的验证方法的写法上了。

毫不犹豫,果断的去翻了项目的Startup,果然3.0的项目默认使用了Endpoint

public void Configure(IApplicationBuilder app, IWebHostEnvironment env)
{
	if (env.IsDevelopment())
	{
		app.UseDeveloperExceptionPage();
	}

	app.UseRouting();
	app.UseAuthorization();
	app.UseEndpoints(endpoints =>
    {
		endpoints.MapControllers();
    });
}

至此,问题已经非常明了了,那么如果想在3.0项目上恢复为2.0的写法应该怎么处置呢?

  1. 干掉app.UseEndpoints(),增加app.UseMvc()。
  2. 在ConfigureServices中的AddMvcOptions里,设置options.EnableEndpointRouting = false;
  3. 经过测试,这一番设置之后,确实AllowAnonymousFilter又回来了。

总结

解决该问题,两个办法。要么采用微软的判断方式(判断过滤器之后再从Endpoint中获取特性进行判断)、要么设置为默认关闭Endpoint。

Elvis Orz
发布了4 篇原创文章 · 获赞 5 · 访问量 3277
私信 关注

猜你喜欢

转载自blog.csdn.net/elvismile/article/details/104003004
今日推荐
TIOBE 5 月榜单:Fortran “复活”进入 Top 10
GCC 14.1 发布
面壁智能发布 Eurux-8x22B 开源大模型 —— 堪称「理科状元」
开源日报 | 谷歌扶持鸿蒙上位;开源Rabbit R1;Docker加持的安卓手机;微软的焦虑和野心;海尔电器把开放平台关了
中国码农的“35岁魔咒”
蘭雅 CorelDRAW 插件 2024.5.1 国际劳动节版,免费下载
Arc Browser for Windows 1.0 正式 GA
90后程序员开发视频搬运软件、不到一年获利超 700 万,结局很刑!
周排行
Java自定义时间格式
同步整形电路
在开发中最最最常用的字符串的属性大集合
Linux 查看端口占用并杀掉
Java基础四:ArrayList
多线程之死锁就是这么简单
mysql 基础命令集
awk 命令详解
Centos6.3编译安装nginx+php步骤
OCR (Optical Character Recognition,光学字符识别)
每日归档
更多
2024-05-08(42)
2024-05-07(14)
2024-05-06(40)
2024-05-05(0)
2024-05-04(7)
2024-05-03(19)
2024-05-02(0)
2024-05-01(4)
2024-04-30(1)
2024-04-29(40)

代码天地 © 2018 codetd.com

境外服务器   最新电视剧2022