c# - 使用 AllowAnonymous 属性在 Web Api 中进行身份验证

Question

我通过继承 DelegatingHandler 实现了基于 JWT 的身份验证并将类添加为 configuration.MessageHandlers.Add(new MyDelegatingHandler()) .

实现DelegatingHandler时, 我重写 Task<HttpResponseMessage> SendAsync(HttpRequestMessage request, CancellationToken cancellationToken) .那里的逻辑很简单——我从 Authorization 中检索了一个 token 。 header ，检查其有效性。如果有效 - 我设置 Thread.CurrentPrincipal和 HttpContext.Current.User ，否则我返回 new HttpResponseMessage(HttpStatusCode.Unauthorized)

基本上它看起来像这样(非常简化):

public class TokenValidationHandler : DelegatingHandler
{
    protected override Task<HttpResponseMessage> SendAsync(HttpRequestMessage request, CancellationToken cancellationToken)
    {
        var token = GetTokenFromAuthorizeHeader(request);
        if (TokenIsValid(token)) {
           var principal = CreatePrincipal(token);
           Thread.CurrentPrincipal = principal;
           HttpContext.Current.User = principal;
           return base.SendAsync(request, cancellationToken);
        } else {
           // TODO: fix
           return Task<HttpResponseMessage>.Factory.StartNew(() => new HttpResponseMessage(HttpStatusCode.Unauthorized));
        }
    }
}

现在即使在具有 [AllowAnonymous] 的 WebApi 方法上也会调用此方法属性与它。这很好，因为即使该方法允许匿名，我也想设置主体。但如果提供的 token 在 Authorization 中，则此逻辑失败 header 无效。

用户使用 [AllowAnonymous] 向资源发送请求并在 Authorization 中使用无效 token header ，应该通过，因为资源允许匿名，但我的代码检查授权，发现 token 无效并发送 HttpStatusCode.Unauthorized .

修复方法是检查 // TODO: fix 在哪里是用户访问的资源是否允许匿名，只发送HttpStatusCode.Unauthorized如果不是，但我不知道如何正确执行此操作。

我该怎么做？

Answer 1

1。身份验证过滤器

使用Authentication Filters ，这是 Web API 2 引入的。它们只执行身份验证，但不会说明用户是否有权访问资源。正是您所需要的。

public class JwtAuthenticationFilter : IAuthenticationFilter
{
    public Task AuthenticateAsync(HttpAuthenticationContext context, CancellationToken cancellationToken)
    {
        var token = GetTokenFromAuthorizeHeader(context.Request);
        if (TokenIsValid(token)) {
            var principal = CreatePrincipal(token);
            // Use context.Principal instead of Thread.CurrentPrincipal
            // and HttpContext.Current.User whenever.
            context.Principal = principal;
        }
        return Task.CompletedTask;
    }

    // TODO: Implement remaining IAuthencitaionFilter members.
}

全局应用此 JwtAuthenticationFilter 以对所有请求执行身份验证:

// httpConfig is an instance of HttpConfiguration
httpConfig.Filters.Add(new JwtAuthenticationFilter());

通过这种方式，如果 token 正常，用户就可以通过身份验证。但仍然所有用户都可以访问您的 API——即使是那些使用无效 token 的用户。让我们更进一步，保护它。

2。授权属性

AuthorizeAttribute是您需要限制未经身份验证的用户对 Web API 的访问。您可以使用与上述相同的方法在全局范围内应用它:

httpConfig.Filters.Add(new AuthorizeAttribute());

没有有效 token 的人将无法通过。好的。最后一步是允许使用无效 token 的用户访问某些特定资源。

3。允许匿名属性

从现在开始，AllowAnonymousAttribute 应该可以工作了。基本上 AuthorizeAttribute 只是检查资源是否由 [AllowAnonymous] 标记，并在这种情况下跳过授权。

---

结论

一般来说，Web API 是针对未经身份验证的用户进行保护的，但是某些资源可以通过应用 [AllowAnonymous] 来禁用授权。我们在上面实现的 JwtAuthenticationFilter 在任何情况下都有效，因此拥有有效 token 的用户将始终通过身份验证 - 即使资源允许匿名访问。