前言

目前公司采用的开发框架是ABP VNext微服务框架

最近突然发现一个问题,ABP中如果控制器或服务层没有加 Authorize特性的话,则不会走身份认证,且不会认证Token

如图:

但是项目已开发大半,一个个去补Authorize特性,工作量比较大,也容易产生遗漏

就想着以前做单体应用的时候,有个全局添加特性的方法,也就是如下代码:

Services.AddMvc(setupAction =>

{

   setupAction.Filters.Add<AuthorizeFilter>();

});

本以为这样就万事大吉了,没想到还有坑在里面..

我们都知道,ABP提供了服务间的动态API通讯功能,它的原理是先获取对应服务的描述,然后通过描述来访问对应的服务节点,

也就是 api/abp/api-definition 这个描述JSON

我们用以上的代码添加了全局授权之后会发现api-definition也被权限管控了,由于api-definition是由ABP框架自动生成的,我们也无法在这个终结点上添加类似  AllowAnonymous 的过滤特性

正文

那么应该如何解决这个问题呢?

首先想到的就是实现自己的授权特性,只需要继承 IAsyncAuthorizationFilter,即可

但是如果采用自己的AuthorizationFilter,则需要重写整个 OnAuthorizationAsync 事件.

ABP提供了角色之类的授权信息就都需要自行重写.

后来想到,可以继承AuthorizeFilter ,添加我们想要的过滤之后直接执行父类的方法,说干就干,我们继承AuthorizeFilter ,代码实现如下:

    public class AbpAuthorizeFilter : AuthorizeFilter

    {

        public AbpAuthorizeFilter()

            : base()

        {

        }

        public override Task OnAuthorizationAsync(AuthorizationFilterContext context)

        {

            //过滤动态API

            if (context.HttpContext.Request.Path.Value.EndsWith("/api-definition"))

            {

                return Task.CompletedTask;

            }

            return base.OnAuthorizationAsync(context);

        }

    }

可是当我们信心满满的把这个拦截器注入之后,会发现整个授权管道,压根就不走自己的这个重写方法.

找了很多资料,最终在官方的issues中找到了类似的疑问,Overrided OnAuthorizationAsync function from AuthorizeFilter can't work in customer class. · Issue #30025 · dotnet/aspnetcore (github.com)

是因为在.NET 5.0 之后,AuthorizeFilter继承了 IFilterFactory,所以在生成实例的时候其实是来自于IFilterFactory的CreateInstance方法, 我们没有重写这个方法,所以一直产生的还是AuthorizeFilter 实例

我们修改代码如下:

    public class AbpAuthorizeFilter2 : AuthorizeFilter

    {

        public AbpAuthorizeFilter2()

            : base()

        {

        }

        public override Task OnAuthorizationAsync(AuthorizationFilterContext context)

        {

            //过滤动态API

            if (context.HttpContext.Request.Path.Value.EndsWith("/api-definition"))

            {

                return Task.CompletedTask;

            }

            return base.OnAuthorizationAsync(context);

        }

        IFilterMetadata CreateInstance(IServiceProvider serviceProvider)

        {

            return this;

        }

    }

运行后发现,在执行到这个拦截器的时候,就会报错,提示PolicyProvider 不能为空.  这就很纳闷了,最终选择去查看一下AuthorizeFilter的源码,aspnetcore/src/Mvc/Mvc.Core/src/Authorization/AuthorizeFilter.cs at 1bda10b33b6cc6f3bbaceabbadb4ddd18ca6e68e · dotnet/aspnetcore (github.com)

我们发现他这个PolicyProvider对象来自于IOC容器,且在CreateInstance方法中判断了这个类是否为空,如果为空则返回基类自己,代码如下:

IFilterMetadata IFilterFactory.CreateInstance(IServiceProvider serviceProvider)

{

        if (Policy != null || PolicyProvider != null)

        {

            // The filter is fully constructed. Use the current instance to authorize.

            return this;

        }

        Debug.Assert(AuthorizeData != null);

        var policyProvider = serviceProvider.GetRequiredService<IAuthorizationPolicyProvider>();

        return AuthorizationApplicationModelProvider.GetFilter(policyProvider, AuthorizeData);

 }

那我们就好办了,直接从IOC容器中拿到IAuthorizationPolicyProvider这个实现类,提供给基类即可,我们修改代码如下:

    public class AbpAuthorizeFilter:AuthorizeFilter

    {

        public AbpAuthorizeFilter(IServiceProvider serviceProvider)

            : base(policyProvider: serviceProvider.GetRequiredService<IAuthorizationPolicyProvider>(), authorizeData: new[] { new AuthorizeAttribute() })

        {

        }

        public void OnAuthorization(AuthorizationFilterContext context)

        {

            OnAuthorizationAsync(context);

        }

        public override Task OnAuthorizationAsync(AuthorizationFilterContext context)

        {

            //过滤动态API

            if (context.HttpContext.Request.Path.Value.EndsWith("/api-definition"))

            {

                return Task.CompletedTask;

            }

            return base.OnAuthorizationAsync(context);

        }

    }

然后修改HostModule中全局授权的方法如下(.NETCORE 是Startup)

context.Services.AddMvc(setupAction =>

{

  //添加自定义的全局拦截器

  setupAction.Filters.Add<AbpAuthorizeFilter>();

});

至此,我们就完成了过滤abp的描述控制器的工作.

后记

碰到奇葩问题,多看看官方源码还是有好处的,有些实现并不是想当然的东西,还是需要实践

ABP VNext添加全局认证(如何继承AuthorizeFilter)的更多相关文章

  1. [Abp vNext 源码分析] - 2. 模块系统的变化

    一.简要说明 本篇文章主要分析 Abp vNext 当中的模块系统,从类型构造层面上来看,Abp vNext 当中不再只是单纯的通过 AbpModuleManager 来管理其他的模块,它现在则是 I ...

  2. ABP VNext框架基础知识介绍(1)--框架基础类继承关系

    在我较早的时候,就开始研究和介绍ABP框架,ABP框架相对一些其他的框架,它整合了很多.net core的新技术和相关应用场景,虽然最早开始ABP框架是基于.net framework,后来也全部转向 ...

  3. [Abp vNext微服务实践] - 添加中文语言

    简介 abp vNext中提供了多语言功能,默认语言是英文,没有提供中文语言包.在业务开发中,定义权限后需要用中文的备注提供角色选择,本篇将介绍如何在abp vNext中加入中文语言. step1:添 ...

  4. [Abp vNext 源码分析] - 7. 权限与验证

    一.简要说明 在上篇文章里面,我们在 ApplicationService 当中看到了权限检测代码,通过注入 IAuthorizationService 就可以实现权限检测.不过跳转到源码才发现,这个 ...

  5. [Abp vNext 源码分析] - 11. 用户的自定义参数与配置

    一.简要说明 文章信息: 基于的 ABP vNext 版本:1.0.0 创作日期:2019 年 10 月 23 日晚 更新日期:暂无 ABP vNext 针对用户可编辑的配置,提供了单独的 Volo. ...

  6. [Abp vNext 源码分析] - 5. DDD 的领域层支持(仓储、实体、值对象)

    一.简要介绍 ABP vNext 框架本身就是围绕着 DDD 理念进行设计的,所以在 DDD 里面我们能够见到的实体.仓储.值对象.领域服务,ABP vNext 框架都为我们进行了实现,这些基础设施都 ...

  7. [Abp vNext 源码分析] - 14. EntityFramework Core 的集成

    一.简要介绍 在以前的文章里面,我们介绍了 ABP vNext 在 DDD 模块定义了仓储的接口定义和基本实现.本章将会介绍,ABP vNext 是如何将 EntityFramework Core 框 ...

  8. 基于 abp vNext 和 .NET Core 开发博客项目 - Blazor 实战系列(一)

    系列文章 基于 abp vNext 和 .NET Core 开发博客项目 - 使用 abp cli 搭建项目 基于 abp vNext 和 .NET Core 开发博客项目 - 给项目瘦身,让它跑起来 ...

  9. [Abp vNext 源码分析] - 21. 界面与文字的本地化

    一.简介 ABP vNext 提供了全套的本地化字符串支持,具体用法可以参考官方使用文档.vNext 本身是对 Microsoft 提供的本地化组件进行了实现,通过 JSON 文件提供本地化源,这一点 ...

  10. 源码解析-Abp vNext丨LocalEventBus

    前言 基础篇已经更新完了,从本篇开始我们进入,中级篇(学习部分源代码)我会挑一些我个人认为比较重要的知识点结合部分开源项目进行源码讲解,咱们废话不说直接上车. Abp vNext的事件总线分2种,一种 ...

随机推荐

  1. JavaScript基础语法-变量

    JavaScript JavaScript - 变量 1. 概念 变量是用于存放数据的容器 通过变量名可以获取数据 并且数据是可修改的 2. 使用 声明变量 只声明不赋值 直接调用 程序会输出unde ...

  2. NEQR: novel enhanced quantum representation

    一.概述   NEQR利用量子叠加和量子纠缠的特性,将数字图像转换为量子态表示,并通过量子门操作进行处理和操作.相较于传统的经典图像表示方法,NEQR具有更高的图像压缩率和更强的安全性,能够在保持图像 ...

  3. 【Azure 媒体服务】Media Service的编码示例 -- 创建缩略图子画面的.NET代码调试问题

    问题描述 在中国区Azure上,使用Media Service服务,想要使用.NET的代码来对上传视频创建缩略图(Thumbnail) . 通过官网文档(https://docs.azure.cn/z ...

  4. 2022-01-24:K 距离间隔重排字符串。 给你一个非空的字符串 s 和一个整数 k,你要将这个字符串中的字母进行重新排列,使得重排后的字符串中相同字母的位置间隔距离至少为 k。 所有输入的字符串

    2022-01-24:K 距离间隔重排字符串. 给你一个非空的字符串 s 和一个整数 k,你要将这个字符串中的字母进行重新排列,使得重排后的字符串中相同字母的位置间隔距离至少为 k. 所有输入的字符串 ...

  5. Django4全栈进阶之路21 项目实战(三种方式开发部门管理):方式二:CBV+Django内置类(ListView, CreateView, UpdateView, DeleteView, DetailView)

    在 Django 中,视图(View)是处理请求并返回响应的主要机制.Django 中有许多视图类可用于处理常见的 CRUD(Create.Read.Update.Delete)操作以及其他类型的请求 ...

  6. “中国法研杯”司法人工智能挑战赛:基于UTC的多标签/层次分类小样本文本应用,Macro F1提升13%+

    "中国法研杯"司法人工智能挑战赛:基于UTC的多标签/层次分类小样本文本应用,Macro F1提升13%+ 相关文章推荐: 本项目主要完成基于UTC的多标签应用,更多部署细节请参考 ...

  7. Python基础 - 赋值运算符

    以下假设变量a为10,变量b为20: 运算符 描述 实例 = 简单的赋值运算符 c = a + b 将 a + b 的运算结果赋值为 c += 加法赋值运算符 c += a 等效于 c = c + a ...

  8. NIST SP 800-37 信息系统和组织的风险管理框架 安全和隐私的系统生命周期方法

    NIST SP 800-37 信息系统和组织的风险管理框架 安全和隐私的系统生命周期方法 它的结构分为3个层级:组织视图.业务任务和信息系统视图. 800-37是NIST SP 800-37的简称,即 ...

  9. 《Just For Fun》:学习即游戏

    <Just For Fun>:学习即游戏 最近读完了 Linus 的自传<Just For Fun>,一直想写点东西,但始终苦于工作繁忙,无暇思考该从何写起.技术上自然不用废话 ...

  10. 传统软件如何SaaS化改造,10个问答带你掌握最优解

    摘要:如果您所在企业希望实行SaaS化改造,可访问了解华为云开发者技术团队的SaaS支持计划. 本文分享自华为云社区<[云享问答]第1期:传统软件如何SaaS化改造,10个问答带你掌握最优解!& ...