這難道不是.NET5 的bug? 線上求錘？

_小碼甲發表於2021-01-20

hello，最近在對一個使用.NET5專案的認證授權系統進行重構，對.NET 5的授權中介軟體的原始碼有些看法。
也希望同學們能幫我理解。

一個樸素的需求

這是一個api專案，預設所有的api都需要授權，少數散落在Controller各處的api不需要授權訪問，故這裡有個全域性授權訪問+特例匿名訪問的矛盾。

以我粗鄙的想法，我相信.NET會很好的處理好這個矛盾： [AllowAnonymous]優先。

這個想法在https://docs.microsoft.com/en-us/aspnet/core/security/authorization/simple?view=aspnetcore-5.0 得到印證。

需求實現

在Startup ConfigureServices新增認證、授權服務

  //  認證服務
 services.AddAuthentication("token")
          .AddScheme<TokenAuthenticationOptions, TokenAuthenticationHandler>(TokenAuthenticationDefaults.AuthenticationScheme,
          option => {
              option.ClaimsIssuer = configuration.GetSection("AppKeys")["ClaimsIssuer"].ToString();
              option.ClientId = configuration.GetSection("AppKeys")["ClientId"].ToString();
              option.ClientSign = configuration.GetSection("AppKeys")["ClientSign"].ToString();
    });

// 授權服務
services.AddAuthorization(options =>{
         // 預設策略
         options.DefaultPolicy = new AuthorizationPolicyBuilder()
                .RequireAuthenticatedUser()
                .AddAuthenticationSchemes("token")
                 .Build();
});

既然現在.NET5推薦使用端點路由的形式，故針對我這個樸素的需求：

我理所當然會嘗試使用在Controller端點上要求全域性授權訪問，對散落在各地的不需要授權的Controller新增[AllowAnonymous]特性。

 // 註冊授權中介軟體
 app.UseAuthorization();
 app.UseEndpoints(endpoints =>
 {
     endpoints.MapHealthChecks("/healthz").AllowAnonymous().WithDisplayName("healthz");                  
     // 全域性對所有api要求授權訪問
     endpoints.MapControllers().RequireAuthorization().WithDisplayName("default");
 });

[AllowAnonymous]
[HttpGet]
[Route("triggerorder")]
public void TriggerOrder()
{
  ...
}

實際測試發現，雖然我對Controller標記了允許匿名訪問，但請求始終進入了授權認證過程！
這個樸素的授權需求竟然還遇到了障礙。

探究原始碼

授權中介軟體原始碼在此： https://github.com/dotnet/aspnetcore/blob/master/src/Security/Authorization/Policy/src/AuthorizationMiddleware.cs

原始碼很簡單：

1..NET 授權中介軟體先從端點獲取了全域性授權宣告IAuthorizeData
2. 通過這個宣告拿到了詳細的全域性授權策略
3. 後面直接開始走授權認證過程, ??? 難以理解
4. 雖然後面又開始檢測Controller-Action上面的AllowAnonymous特性，這時候已經晚了，你都把授權認證流程都走一遍了！！

很明顯，基於端點的全域性授權+零散的匿名訪問特性並沒有貫徹[AllowAnonymous]特性優先的原則。

在這個測試例子中，當前端點的metadata確實包含Authorize和AllowAnonymous兩個特性！

後續

我已經在github上提了issue（https://github.com/dotnet/aspnetcore/issues/29377），講述了這個樸素的需求面臨的障礙，但是官方的回答我並不滿意。

暫時採用變通方案，我自行寫了一個授權中介軟體(主體拷貝自官方)，只是自行將對[AllowAnonymous]特性的檢測應用程式碼提到端點授權程式碼的前面，這也是我內心認為的bug的修復方案。

歡迎大家留言，提出意見或看法！

線上出bug了？別怕，這麼定位！
2019-06-01
mysql 原生線上DDL 的bug .
2022-04-15
MySql
大佬們，這種線上 bug 出現了，以後怎麼避免呢
2024-04-29
排隊與掉線，線上遊戲的「人口災難」
2019-10-24
遊戲
線上BUG：MySQL死鎖分析實戰
2021-07-04
MySql
線上出現bug解決用例
2020-11-25
利用好 git bisect 這把利器，幫助你快速定位疑難 bug
2022-06-22
Git
【萬字長文之求錘得錘的故事】Redis鎖從面試連環炮聊到神仙打架。
2020-03-15
Redis面試
Android疑難bug統計
2019-02-01
Android
【Not BUG】微軟Winform窗體中設計上的Bug，會導致程式編譯失敗？不，這不是BUG！
2021-01-20
微軟ORM編譯
業務模組兒使用 Lumen 作為開發框架，難道不是在玩兒火。。。
2020-07-13
框架
面試官竟然問我訂單ID是怎麼生成的？難道不是MySQL自增主鍵？
2022-06-21
面試MySql
萬萬沒想到，一個 MongoDB.Driver 的 bug 導致 .NET5 程式死鎖！
2021-11-22
MongoDB
論線上 Bug，測試、產品、開發的定責比例
2024-05-30
【乾貨合輯】大資料難，難於上青天？快接好這套學習寶典迎難而上！
2021-09-09
大資料
BUG頻出的大環境下，如何最大程度避免線上事故？
2022-07-18
線上專案出BUG沒法除錯？這款阿里開源的診斷神器，自帶IDEA外掛真香！
2022-05-31
除錯阿里Idea
解Bug之路-記一次線上請求偶爾變慢的排查
2020-10-12
為什麼在 Apple Silicon 上裝 Docker 這麼難
2022-02-25
APPDocker
網際網路老賴鉅款難追，「AI催收」已上線，這家公司欲赴美上市
2019-11-07
AI
日常Bug排查-Nginx重複請求？
2021-06-16
Nginx
這是 Bug 嘛，看著怪怪的
2020-03-03
線上故障，這次是kube-proxy的鍋
2021-12-31
模切ERP系統上線困難的原因是什麼？
2022-09-14
難以理解的AQS（上）
2019-03-25
AQS
「日常開發」記一次因使用Date引起的線上BUG處理
2020-04-21
《茶杯頭》這麼難！究竟難在哪？
2019-08-14
實錘，PBlaze5擁有multiple namespaces能力（上）
2018-05-21
namespace
部落格園&阿里雲聯合徵文：最難忘的bug
2021-11-17
阿里
《魔獸世界》懷舊服線上或達100萬，難道正式服這些年真的改錯了？
2019-09-03
《輻射：避難所Online》今日全平臺正式上線
2019-06-21
.NET5釋出，這個微軟“全家桶”會是.NET的春天嗎？
2020-11-25
微軟
畢設專案：springboot+vue實現的線上求職平臺
2024-07-20
Spring BootVue求職
最難求職季，如何在求職「寒冬」突出重圍？
2019-01-07
求職
線上教育程式開發中遇到的難點是什麼？如何解決？
2021-04-12
2018-08-21網站請求+BUG定位
2018-08-21
網站
這不會又是一個Go的BUG吧？
2022-06-22
Go
MySQL的這個bug，坑了多少人？
2020-04-06
MySql

這難道不是.NET5 的bug? 線上求錘？

一個樸素的需求

需求實現

探究原始碼

後續

相關文章