ASP.NET Core WebApi 在 AWS ECS 集群中的认证问题解析

问题背景

在 ASP.NET Core WebApi 项目中，当部署到 AWS ECS 集群时，开发者遇到了一个特殊的认证问题。该问题表现为：在本地调试、本地 Docker 环境以及 AWS Lambda 部署中都能正常工作的应用，在 ECS 集群部署时却出现了认证失败的情况。

核心问题表现

具体表现为健康检查端点 /welcome 返回了 401 未授权错误，日志中显示：

Authorization failed. These requirements were not met: svc-webapi-users
DenyAnonymousAuthorizationRequirement: Requires an authenticated user.

技术分析

认证机制分析

项目使用了自定义的 JWT 认证方案，配置如下：

services.AddAuthentication(options => {
    options.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme;
    options.DefaultChallengeScheme = JwtBearerDefaults.AuthenticationScheme;
})
.AddJwtBearer("custom", x => {
    x.RequireHttpsMetadata = false;
    x.SaveToken = true;
    x.TokenValidationParameters = new TokenValidationParameters {
        ValidateIssuerSigningKey = true,
        IssuerSigningKey = new SymmetricSecurityKey(key),
        ValidateIssuer = false,
        ValidateAudience = false,
        ValidateLifetime = true,
        LifetimeValidator = (before, expires, token, param) => expires > DateTime.UtcNow
    };
});

授权策略配置

项目配置了默认授权策略要求认证用户：

services.AddAuthorization(options => {
    options.DefaultPolicy = new AuthorizationPolicyBuilder()
        .RequireAuthenticatedUser()
        .AddAuthenticationSchemes("custom")
        .Build();
});

问题根源

1. 环境差异：ECS 集群环境与其他环境存在配置差异，可能是认证依赖的服务或参数在 ECS 环境中不可用或配置不同。

2. 健康检查端点保护：虽然 /welcome 端点设计为匿名访问，但默认授权策略可能覆盖了端点级别的匿名设置。

3. Minimal API 与控制器差异：项目中混合使用了控制器和 Minimal API，两者的认证授权行为可能存在差异。

解决方案建议

1. 显式设置端点匿名访问：

endpoints.MapGet("/welcome", context => context.Response.WriteAsync(welcome))
    .ExcludeFromDescription()
    .AllowAnonymous();

2. 检查环境配置：

• 确认 ECS 环境中认证所需的参数（如签名密钥）是否正确配置
• 验证 ECS 任务定义中的环境变量设置

3. 认证中间件顺序： 确保认证中间件在端点路由之前正确配置

4. 日志增强： 增加详细日志记录，捕获认证过程中的详细信息

最佳实践建议

1. 避免混合认证模式：明确区分需要认证和匿名访问的端点

2. 健康检查设计：

• 保持健康检查端点简单，避免依赖复杂逻辑
• 考虑使用专门的健康检查库（如 AspNetCore.HealthChecks）

3. 环境一致性：

• 确保所有环境（开发、测试、生产）使用相同的认证配置方式
• 使用配置中心或密钥管理服务统一管理敏感信息

4. 异步编程： 避免在配置中使用 Task.Result，改用正确的异步模式

总结

在复杂部署环境中，认证授权问题往往源于环境差异和配置不一致。通过明确区分端点访问权限、增强日志记录和确保环境一致性，可以有效避免类似问题。对于关键业务系统，建议建立完善的配置管理和部署验证流程，确保应用在不同环境中表现一致。