这难道不是.NET5的bug? 在线求锤？

hello，最近在对一个使用.NET5项目的认证授权系统进行重构，对.NET 5的授权中间件的源码有些看法。也希望同学们能帮我理解。

一个朴素的需求

这是一个api项目，默认所有的api都需要授权，少量散落在Controller各处的api不需要授权访问，故这里有个全局授权访问+特例匿名访问的矛盾。

以我粗鄙的想法，我相信.NET会很好的处理好这个矛盾：[AllowAnonymous]优先。

“
这个想法在https://docs.microsoft.com/en-us/aspnet/core/security/authorization/simple?view=aspnetcore-5.0 得到印证

需求实现

在Startup ConfigureServices添加认证、授权服务

  //  认证服务services.AddAuthentication("token").AddScheme<TokenAuthenticationOptions, TokenAuthenticationHandler>(TokenAuthenticationDefaults.AuthenticationScheme,option => {option.ClaimsIssuer = configuration.GetSection("AppKeys")["ClaimsIssuer"].ToString();option.ClientId = configuration.GetSection("AppKeys")["ClientId"].ToString();option.ClientSign = configuration.GetSection("AppKeys")["ClientSign"].ToString();});// 授权服务
services.AddAuthorization(options =>{// 默认策略options.DefaultPolicy = new AuthorizationPolicyBuilder().RequireAuthenticatedUser().AddAuthenticationSchemes("token").Build();
});

既然现在.NET5推荐使用端点路由的形式，故针对我这个朴素的需求：

我理所当然会尝试使用在Controller端点上要求全局授权访问，对散落在各地的不需要授权的Controller添加[AllowAnonymous]特性。

 // 注册授权中间件app.UseAuthorization();app.UseEndpoints(endpoints =>{endpoints.MapHealthChecks("/healthz").AllowAnonymous().WithDisplayName("healthz");                  // 全局对所有api要求授权访问endpoints.MapControllers().RequireAuthorization().WithDisplayName("default");});

[AllowAnonymous]
[HttpGet]
[Route("triggerorder")]
public void TriggerOrder()
{...
}

实际测试发现，虽然我对Controller标记了允许匿名访问，但请求始终进入了授权认证过程！这个朴素的授权需求竟然还遇到了障碍。

探究源码

授权中间件源码在此：https://github.com/dotnet/aspnetcore/blob/master/src/Security/Authorization/Policy/src/AuthorizationMiddleware.cs

源码很简单：

1. .NET 授权中间件先从端点获取了全局授权声明IAuthorizeData
2. 通过这个声明拿到了详细的全局授权策略
3. 后面直接开始走授权认证过程 ??? 难以理解
4. 虽然后面又开始检测Controller-Action上面的AllowAnonymous特性，这时候已经晚了，你都把授权认证流程都走一遍了！！