具有多个身份验证过滤器的 ASP.net Web API 2 控制器

Question

多个身份验证过滤器的预期语义是什么？是允许的吗？如果是这样，它们如何协同工作？

这是一个具体的例子。假设我有一个控制器类，例如

[BasicAuthenticator]
[LocalAuthenticator]
[Authorize]
public class TestController : ApiController
{
    [AllowAnonymous]
    public IHttpActionResult GetProduct(int id)
    {
    }

    // etc. etc
}

BasicAuthenticator 和 LocalAuthenticator 在其中实现了 IAuthenticationFilter。

每个身份验证者都有机会成功。如果其中任何一个成功，它会将context.Principal 设置为具有适当ClaimsIdentity（名称、类型和isAuthenticated = true）的新对象。

如果身份验证器失败怎么办？我认为它应该什么都不做，这样另一个人就有机会成功。对吧？

如果两者都成功呢？第二个是否会擦除第一个创建的委托人？将两个 Principal 对象的 ClaimsIdentity 集合合并在一起不是更有意义吗？

如果验证器失败，它应该什么都不做，对吗？因为其他身份验证器可能会成功。拥有两个身份验证器的语义是，如果其中一个成功，则该操作将运行，对吗？

我认为 Authorize 类将查看主体中的所有 ClaimsIdentity，如果任何 ClaimsIdentity 具有“isAuthenticated = true”，那么它将允许控制器操作运行。否则，它将设置状态 = 401。这似乎是它的工作原理。对吗？

[AllowAnonymous] 的目的是禁用所有其他授权过滤器，对吗？控制器（或操作方法）用[AllowAnonymous] 装饰，然后我假设它应该始终运行，即使身份验证失败。对吗？

Answer 1

随着最近在 Web API 2 中引入的身份验证过滤器，我想应该引入 one 属性进行身份验证，并可能引入 one 属性进行授权，作为 MS 团队把这两个问题分开。所以语义是有一个一个进行身份验证。

在我看来，您可以添加多个身份验证属性这一事实只是巧合，因为您碰巧在控制器上设置过滤器及其操作属性，并且您可以添加多个属性...在项目范围内设置身份验证过滤器也是如此，在所有控制器的所有操作上：因为一个可以添加多个过滤器，它不一定意味着一个 应该添加多个身份验证过滤器。

如果您需要支持一种以上的身份验证机制（例如Basic 和Local），您可以只使用一个属性/过滤器来拦截请求，并尝试两种机制，实现任何一个 AND/OR您可能需要的自定义逻辑。

Answer 2

成功运行的最后一个身份验证过滤器只会破坏 Principal。当您查看 Principal 对象和附加到它的极其复杂的 Claims 集合时，您会认为所有这些复杂性肯定是为了支持多个成功的身份验证！但你错了。只有一个人可以成功。除了放纵微软某些架构师的虚荣心之外，没有理由这么复杂。