动态判断是否需要Api接口鉴权
一.概述
问题:
在使用 asp.net core api 做业务开发时,在本地vs开发环境,部署后的测试环境,都需要先获取access_token,才能访问api接口,这样浪费了调试与测试时间。
现状:
我这里是通过Apollo 配置中心定义了二套配置环境,一是Dev环境:用于本地vs开发环境,部署后的测试环境; 二是:Pro环境用于生产环境。
通过keycloak 认证授权服务器来保护api资源,在Controller或Action上加[Authorize] 或[AllowAnonymous] 来确定是否需要接口鉴权
解决思路
由于C#的Attribute 是不能通过代码来进行动态的添加和删除,所以需要自定义鉴权Attribute来替换[Authorize]。
二.实现关键代码
2.1在Program.cs中获取环境
//打印阿波罗环境变量 var env = builder.Configuration.GetSection("Env").Value; //判断是否要进行接口认证 TokenUtil.IsAuth = env.ToLower().Contains("pro") ? true : false;
2.2 自定义DynamicAuthorizationAttribute.cs类
/// <summary> /// 根据阿波罗配置的环境(Dev,Pro),动态判断是否需要接口鉴权 /// Dev环境不用接口鉴权 /// </summary> public class DynamicAuthorizationAttribute : Attribute, IAuthorizationFilter { public void OnAuthorization(AuthorizationFilterContext context) { //不做鉴权 if (!TokenUtil.IsAuth) return; //不做鉴权 var endpoint = context.HttpContext.GetEndpoint(); if (endpoint == null) return; //如果Controller或Action上标记了[AllowAnonymous],不做鉴权 var metadata = endpoint.Metadata.GetOrderedMetadata<IAllowAnonymous>(); if (metadata.Any()) return; //是否通过access_token获取到用户信息 var isAuth = context.HttpContext.User.Identity.IsAuthenticated; if (!isAuth) { //没有权限时返回401错误 context.Result = new UnauthorizedResult(); } } }
2.3在Controller基数加入[DynamicAuthorization]
/// <summary> /// 辅助基类控制器 /// </summary> // [Authorize] [DynamicAuthorization] [ApiController] [Route("Auxiliary/[controller]/[action]")] public class AuxiliaryControllerBase : Controller { }