[C#].Net Core下全局自定义身份过滤器使用AllowAnonymous属性

假设一种情况:项目中需要做认证和权限控制,而且需要权限才能访问的控制器要远多于可以匿名访问的(类似AO系统那样,登陆了才能用)。

那在每个控制器上加一个 [Authorize] 是能解决问题,反正正我是觉得麻烦。

而且Core自带的权限认证机制不满足于复杂的身份权限认证,打算像在Framework中一样注册一个全局过滤器,然后用 [AllowAnonymous] 来放行可以匿名的控制器或者方法。

 

按照官方文档,自定义身份过滤器推荐实现 IAuthorizationFilter 或者 IAsyncAuthorizationFilter 接口,再顺便给他们定义为中间件更好。

例如

 1     public class MyAuthorizeFilter : IAuthorizationFilter
 2     {
 3         public void OnAuthorization(AuthorizationFilterContext context)
 4         {
 5             //do something... 6         }
 7     }
 8 
 9     public class MyAsyncAuthorizeFilter : IAsyncAuthorizationFilter
10     {
11         public Task OnAuthorizationAsync(AuthorizationFilterContext context)
12         {
13             //do someting...14         }
15     }
MyAuthorizeFilter

然后在Startup.cs中注册全局过滤器

1         public void ConfigureServices(IServiceCollection services)
2         {
3             services.AddMvc(option => { option.Filters.Add(typeof(MyAuthorizeFilter)); });
4         }

 

可是运行时发现,自定义的过滤器无法阻止那些没有授权的请求!这是为什么?

在控制器上加上  [Authorize] 调试

发现实际上我的过滤器已经被加到了过滤器列队里,但是本身并没有执行任何动作。

其实这里也是我自己犯傻了,人家就是一个接口而已,肯定没有任何操作,单纯继承接口以后指望人家能做什么呢。

 

那我们既要实现原生的权限认证机制(毕竟像未登录跳转等功能不用自己实现了),还要增加自定义的认证机制。

后来发现 [Authorize] 属性会被注册为AuthorizeFliter过滤器。那就妥了,继承然后重写其实现就好。

我的过滤器就变成了这样。

 1 public class MyAuthorizeFilter : AuthorizeFilter
 2     {
 3 
 4         private static AuthorizationPolicy _policy_ = new AuthorizationPolicy(new[] { new DenyAnonymousAuthorizationRequirement() }, new string[] { });
 5 
 6         public MyAuthorizeFilter() : base(_policy_) { }
 7 
 8         public override async Task OnAuthorizationAsync(AuthorizationFilterContext context)
 9         {
10             await base.OnAuthorizationAsync(context);
11             Console.WriteLine("权限检测");
12         }
13     }

 

说明一下实现AuthorizeFilter基类,必须有一个过滤策略,也就是,这里我采用的是最基础的DenyAnonymousAuthorizationRequirement(阻止匿名身份的请求)

 

运行,过滤器可以正常过滤没有授权的请求了,但是无论授权与否,或者是否可匿名访问,均会执行“权限检测”那里。

这是为啥?

继续调试。

发现 [AllowAnonymous] 也被注册成了过滤器。

 

修改代码,最终成了这样

 1     public class MyAuthorizeFilter : AuthorizeFilter
 2     {
 3 
 4         private static AuthorizationPolicy _policy_ = new AuthorizationPolicy(new[] { new DenyAnonymousAuthorizationRequirement() }, new string[] { });
 5 
 6         public MyAuthorizeFilter() : base(_policy_) { }
 7 
 8         public override async Task OnAuthorizationAsync(AuthorizationFilterContext context)
 9         {
10             await base.OnAuthorizationAsync(context);
11             if (!context.HttpContext.User.Identity.IsAuthenticated ||
12                 context.Filters.Any(item => item is IAllowAnonymousFilter)) return;
13             //do something
14         }
15     }

 

仅作为一个简单的学习笔记。如果有更好的方法欢迎指教。

 

又及:

在某篇博客中见过一个问题,大概就是说 context.HttpContext.User.Identity.IsAuthenticate 的值恒定false,后来采用了一大堆不啦不啦的方法自己实现了获取认证状态的方法。这篇博客我找不到了。

我也遇到了类似的问题,后来发现是在startup的Configure中没有启用身份认证 app.UseAuthentication() ,根据自己的方法自行选择,例如我后来用IdentityServer4,就变成了 app.UseIdentityServer(); 

 

posted @ 2017-11-16 17:51  写代码的相声演员  阅读(16128)  评论(2编辑  收藏  举报