asp.net core 自定義 Policy 替換 AllowAnonymous 的行為

-Advertisement-

asp.net core 自定義 Policy 替換 AllowAnonymous 的行為 Intro 最近對我們的服務進行了改造，原本內部服務在內部可以匿名調用，現在增加了限制，通過 identity server 來管理 api 和 client，網關和需要訪問api的客戶端或api服務相互調用 ...

asp.net core 自定義 Policy 替換 AllowAnonymous 的行為

Intro

最近對我們的服務進行了改造，原本內部服務在內部可以匿名調用，現在增加了限制，通過 identity server 來管理 api 和 client，網關和需要訪問api的客戶端或api服務相互調用通過 client_credencial 的方式來調用，這樣一來我們可以清晰知道哪些 api 服務會被哪些 api/client 所調用，而且安全性來說更好。
為了保持後端服務的代碼更好的相容性，希望能夠實現相同的代碼通過在 Startup 里不同的配置實現不同的 Authorization 邏輯，原來我們的服務的 Authorize 都是以 Authorize("policyName") 的形式來寫的，這樣一來我們只需要修改這個 Policy 的授權配置就可以了。對於 AllowAnonymous 就希望可以通過一種類似的方式來實現，通過自定義一個 Policy 來實現自己的邏輯

實現方式

將 action 上的 AllowAnonymous 替換為 Authorize("policyName")，在沒有設置 Authorize 的 controller 上增加 Authorize("policyName")

public class AllowAnonymousPolicyTransformer : IApplicationModelConvention
{
    private readonly string _policyName;

    public AllowAnonymousPolicyTransformer() : this("anonymous")
    {
    }

    public AllowAnonymousPolicyTransformer(string policyName) => _policyName = policyName;

    public void Apply(ApplicationModel application)
    {
        foreach (var controllerModel in application.Controllers)
        {
            if (controllerModel.Filters.Any(_ => _.GetType() == typeof(AuthorizeFilter)))
            {
                foreach (var actionModel in controllerModel.Actions)
                {
                    if (actionModel.Filters.Any(_ => _.GetType() == typeof(AllowAnonymousFilter)))
                    {
                        var allowAnonymousFilter = actionModel.Filters.First(_ => _.GetType() == typeof(AllowAnonymousFilter));
                        actionModel.Filters.Remove(allowAnonymousFilter);
                        actionModel.Filters.Add(new AuthorizeFilter(_policyName));
                    }
                }
            }
            else
            {
                if (controllerModel.Filters.Any(_ => _.GetType() == typeof(AllowAnonymousFilter)))
                {
                    var allowAnonymousFilter = controllerModel.Filters.First(_ => _.GetType() == typeof(AllowAnonymousFilter));
                    controllerModel.Filters.Remove(allowAnonymousFilter);
                }
                controllerModel.Filters.Add(new AuthorizeFilter(_policyName));
            }
        }
    }
}

public static class MvcBuilderExtensions
{
    public static IMvcBuilder AddAnonymousPolicyTransformer(this IMvcBuilder builder)
    {
        builder.Services.Configure<MvcOptions>(options =>
        {
            options.Conventions.Insert(0, new AllowAnonymousPolicyTransformer());
        });
        return builder;
    }

    public static IMvcBuilder AddAnonymousPolicyTransformer(this IMvcBuilder builder, string policyName)
    {
        builder.Services.Configure<MvcOptions>(options =>
        {
            options.Conventions.Insert(0, new AllowAnonymousPolicyTransformer(policyName));
        });
        return builder;
    }
}

controller 中的代碼：

[Route("api/[controller]")]
public class ValuesController : Controller
{
    private readonly ILogger _logger;

    public ValuesController(ILogger<ValuesController> logger)
    {
        _logger = logger;
    }

    // GET api/values
    [HttpGet]
    public ActionResult<IEnumerable<string>> Get()
    {
        var msg = $"IsAuthenticated: {User.Identity.IsAuthenticated} ,UserName: {User.Identity.Name}";
        _logger.LogInformation(msg);
        return new string[] { msg };
    }

    // GET api/values/5
    [Authorize]
    [HttpGet("{id:int}")]
    public ActionResult<string> Get(int id)
    {
        return "value";
    }
    // ...
}

Startup 中 ConfigureServices 配置：

var anonymousPolicyName = "anonymous";

services.AddAuthorization(options =>
{
    options.AddPolicy(anonymousPolicyName, builder => builder.RequireAssertion(context => context.User.Identity.IsAuthenticated));

    options.DefaultPolicy = new AuthorizationPolicyBuilder(HeaderAuthenticationDefaults.AuthenticationSchema)
        .RequireAuthenticatedUser()
        .RequireAssertion(context => context.User.GetUserId<int>() > 0)
        .Build();
});

services.AddMvc(options =>
    {
        options.Conventions.Add(new ApiControllerVersionConvention());
    })
    .AddAnonymousPolicyTransformer(anonymousPolicyName)
    ;

實現效果

訪問原來的匿名介面

with custom anonymous policy

userId 為0訪問原來的匿名介面

with header authentication && userId <= 0

userId 大於0訪問原來的匿名介面

with header authentication && userId > 0

userId 為0訪問需要登錄的介面
with header authentication && userId <= 0 && userId >0 required

userId 大於0訪問需要登錄的介面
with header authentication && userId > 0 && userId >0 required

註：按照上面的做法已經可以做到自定義 policy 代替 AllowAnonymous 的行為，但是原來返回的401，現在可能返回到就是 403 了

Reference

https://github.com/WeihanLi/AspNetCorePlayground/blob/master/TestWebApplication

您的分享是我們最大的動力!

-Advertisement-

更多相關文章

[Go] gocron源碼閱讀-判斷是否使用root用戶執行

判斷是linux系統，並且uid為0,allowRoot是通過命令行傳參傳進來的，通過flag包解析出來的，可以使用go run node.go -h看到這些參數 log.Fatal傳入的是一個可變參數v ...interface{}，並且可以傳入任意類型，可變參數的使用和切片很像如果要真的傳入一 ...
go-goroutine 和 channel

goroutine 和 channel goroutine 看一個需求需求：要求統計 1 9000000000 的數字中，哪些是素數？分析思路： 1) 傳統的方法，就是使用一個迴圈，迴圈的判斷各個數是不是素數。[很慢] 2) 使用併發或者並行的方式，將統計素數的任務分配給多個 goroutine ...
SpringCloud之Zuul：服務網關

Zuul在Web項目中的使用見上文《SpringBoot中使用Zuul》，下麵例子為Zuul在Spring Cloud的使用。 ...
一、Mybatis配置詳解

Mybatis配置詳解 XML配置文件層次結構下圖展示了mybatis config.xml的全部配置元素 properties元素 properties是一個配置屬性的元素，讓我們能在配置文件的上下文中使用它，MyBatis提供3種配置方式。 property子元素。 properties配置文 ...
PHP實現微信提現（企業付款到零錢）

怎麼開通企業付款到零錢？有的商戶號的產品中心是沒有這個功能的，不過，該功能的pid（product id）是5，只要隨便進去某一個產品，在地址欄把pid改為5。即可進入該功能頁面，進行開通，不過要滿足條件。用戶提現代碼： 1 //用戶微信提現 2 private function withdr ...
MATLAB實例：新建文件夾，保存.mat文件並保存數據到.txt文件中

MATLAB實例：新建文件夾，保存.mat文件並保存數據到.txt文件中作者：凱魯嘎吉 - 博客園 http://www.cnblogs.com/kailugaji/ 用MATLAB實現：指定路徑下新建文件夾，將數據保存為.mat文件存放到新建的文件夾里，並將數據寫入.txt文件中，存放到新建的文 ...
Github PageHelper 原理解析

任何服務對資料庫的日常操作，都離不開增刪改查。如果一次查詢的紀錄很多，那我們必須採用分頁的方式。對於一個Springboot項目，訪問和查詢MySQL資料庫，持久化框架可以使用MyBatis，分頁工具可以使用github的 PageHelper。我們來看一下PageHelper的使用方法： 1 // ...
談談EF Core實現資料庫遷移

作為程式員，在日常開發中，記憶猶新的莫過於寫代碼，升級程式。升級程式包含兩部分：一是，對服務程式更新；二是，對資料庫結構更新。本篇博文主要介紹資料庫結構更新，在對資料庫升級時，不知道園友們是否有如下經歷： 1）腳本文件中建表語句未作判斷是否存在，而導致執行失敗。 2）腳本文件中修改欄位在建表語句之前 ...

asp.net core 自定義 Policy 替換 AllowAnonymous 的行為

asp.net core 自定義 Policy 替換 AllowAnonymous 的行為

Intro

實現方式

實現效果

More

Reference