深度解讀.NET5 授權中間件執行策略

• 2021 年 2 月 4 日
• 筆記
• Asp.Net Core

前文提要

2021.1月份我寫了一個《這難道不是.NET5 的bug? 在線求錘？》，
講述了我在實現[全局授權訪問+特例匿名訪問] 遇到的技術困惑: [特例匿名訪問，還是走了認證流程]。

部落格園上某大佬的看法：

大概的意思是說 ： 不管是匿名訪問還是鑒權訪問，均先識別用戶身份，再決定跳過授權/應用授權！ [有身份訪問 MVC Login]這個場景可以佐證這個看法。

頭腦風暴

後來我又仔細檢視看了授權的源程式碼，發現並不完整， 請看官仔細觀察我原文的示例，
端點路由還有一個[健康檢查]，端點加上了[AllowAnonymous]

endpoints.MapHealthChecks("/healthz").AllowAnonymous().WithDisplayName("healthz");

這個端點並沒有進入認證流程，從授權中間件源碼上看也是如此。

故官方源碼是否能進入認證邏輯： 關鍵是看能不能在端點上包含授權策略：

var authorizeData = endpoint?.Metadata.GetOrderedMetadata<IAuthorizeData>() ?? Array.Empty<IAuthorizeData>();   
  var policy = await AuthorizationPolicy.CombineAsync(_policyProvider, authorizeData);
  if (policy == null)
 {
     await _next(context);
     return;
  }

健康檢查端點直接應用了[AllowAnonymous]（實際上你可以不加）, 這樣就沒有授權策略(policy= null)，這個時候自然跳過後續，進入業務邏輯。

甚至， 你可以這樣寫：
endpoints.MapControllers().RequireAuthorization().AllowAnonymous().WithDisplayName(“default”);
這樣的程式碼也要進入認證邏輯，因為它包含了授權聲明。

根據以上分析，.NET 5授權中間件的流程是這樣的：

The official said:

Authorization is orthogonal and independent from authentication. However, authorization requires an authentication mechanism. Authentication is the process of ascertaining who a user is. Authentication may create one or more identities for the current user.
授權是正交的並且獨立於驗證。但是，授權需要身份驗證機制。身份驗證是確定用戶身份的過程。認證可以為當前用戶創建一個或多個身份。

思緒整理

我試圖以一種流暢的、能自然其說的思路來理解官方的設計理念。

我們捋一捋：

當我「樸素的需求」到達端點時，端點第一時間拿到平鋪的所有元數據資訊metadata：

**針對這種矛盾體資訊, 確實有不同的設計策略： **

**我理解的匿名優先： 不需要認證； **

官方認定的匿名優先，是在身份登記的前提下，匿名訪問優先。。​

也許我將」匿名優先「與「認證」聯繫在一起，並不合適,
官方可是將AllowAnonymous 放在授權組件的範疇。

Authorization components, including the AuthorizeAttribute and AllowAnonymousAttribute attributes, are found in the Microsoft.AspNetCore.Authorization namespace.

就這樣吧， 匿名訪問不表示”無需認證”​； 匿名訪問 是 授權模組的內容​；授權的前提是認證。 ​