ASP.NET непонятна логика работы аутентификации. Почему на контроллере она работает прозрачно, а на MapGet не работает без RequireAuthentication?

Question

[Alex XYZ]

Всем привет.

.NET 7, Windows 10/11, Keycloak/OpenID.

1.


2.
и можно ли заставить app.Map, который находится вне app.UseEndpoints авторизоваться?


Или подскажите, в чём причина такой разницы в работе?

Answer 1

[Роман]

Значит на контроллере весит атрибут Authorize. Код контроллера приведите пожалуйста.

Comments

[Alex XYZ]

Да, всё верно, на контроллере висит этот атрибут. Тогда, получается, что RequireAuthorize его заменяет.
А как быть со вторым вопросом, где app.Map() находится за пределами app.UseEndpoint()?

[Роман]

Alex XYZ, я не могу понять, чего тут непонятного? По умолчанию политика авторизации применяется к контроллерам и страницам Razor помеченными соответствующими атрибутами или маршрутам с функцией RequreAuthorization. Если надо авторизацию врубить по умолчанию

builder.Services.AddAuthorization(options =>
{
    options.FallbackPolicy = new AuthorizationPolicyBuilder()
        .RequireAuthenticatedUser()
        .Build();
});

при этом отрубаем авторизацию атрибутом AlloyAnonymous

читаем документацию https://learn.microsoft.com/ru-ru/aspnet/core/secu...

[Alex XYZ]

Роман, Ваше предложение помогло. Для меня это было неочевидно, т.к. я и с asp.net по серьёзному не работал. Премного благодарен вам за подсказку.