ASP.NET Core 中全局授权策略与OIDC认证的冲突解决方案

在ASP.NET Core项目中，开发人员经常需要实现一种安全模式：默认要求所有端点都必须经过认证，仅显式允许少数公开端点。这种模式看似简单，但在结合OpenID Connect(OIDC)认证时，如果不注意处理，会导致严重的认证循环问题。

问题现象

当开发者在ASP.NET Core中配置全局授权策略时，通常会这样实现：

var requireAuthPolicy = new AuthorizationPolicyBuilder()
    .RequireAuthenticatedUser()
    .Build();

builder.Services.AddAuthorizationBuilder()
    .SetFallbackPolicy(requireAuthPolicy);

这种配置确实能强制所有端点要求认证，但会意外影响OIDC认证流程本身。因为OIDC的认证端点（如/signin-oidc）也被纳入了授权范围，导致用户在尝试登录时被重定向到登录页面，形成无限循环。

根本原因

OIDC认证流程依赖于几个特殊端点来处理认证握手过程。这些端点包括：

• 处理认证响应的回调端点（通常为/signin-oidc）
• 登出端点
• 前端通道的注销iframe端点

当全局授权策略生效时，这些端点同样被要求认证，而用户此时尚未登录，系统会不断重定向到登录页面，造成死循环。

解决方案

正确的实现方式需要结合全局授权策略与特定端点的匿名访问控制：

1. 保留全局授权策略：保持默认要求认证的安全基线

2. 显式排除OIDC相关端点：通过[AllowAnonymous]特性标记认证流程所需的特殊端点

3. 排除其他公开页面：如登录页、注销确认页等

示例代码：

// 全局策略配置
builder.Services.AddAuthorization(options =>
{
    options.FallbackPolicy = new AuthorizationPolicyBuilder()
        .RequireAuthenticatedUser()
        .Build();
});

// 控制器或页面上的排除
[AllowAnonymous]
public class LoginModel : PageModel
{
    // 登录页面逻辑
}

[AllowAnonymous]
public class SignOutModel : PageModel
{
    // 登出页面逻辑
}

最佳实践

1. 最小权限原则：从严格限制开始，再逐步开放必要端点

2. 明确的白名单：清晰标记哪些端点允许匿名访问

3. 测试认证流程：特别关注登录/注销的端到端测试

4. 安全检查：定期检查匿名端点，确保没有意外暴露敏感接口

5. 日志监控：记录匿名访问情况，便于安全审计

通过这种模式，开发者可以在保持整体安全性的同时，确保认证流程正常工作。这种平衡是构建安全且用户友好的Web应用的关键。