嘿，这个问题我之前在项目里也碰到过——ASP.NET Core 2.0的自定义认证处理器默认不会自动识别[AllowAnonymous]属性，因为框架的跳过认证逻辑是和默认认证体系绑定的，自定义处理器需要我们主动去检查这个标记。不需要急着自定义新属性，先试试下面的方案：

让默认[AllowAnonymous]生效的核心步骤 #

1. 在自定义认证Handler中检查端点元数据 #

自定义认证处理器的HandleAuthenticateAsync方法里，需要先获取当前请求对应的Endpoint，然后检查它的元数据中是否包含IAllowAnonymous（AllowAnonymousAttribute实现了这个接口）。如果存在，就直接返回AuthenticateResult.NoResult()，告诉框架跳过当前认证流程：

protected override async Task<AuthenticateResult> HandleAuthenticateAsync()
{
    // 获取当前请求的端点信息（必须确保路由中间件已执行）
    var endpoint = Context.GetEndpoint();
    if (endpoint?.Metadata?.GetMetadata<IAllowAnonymous>() != null)
    {
        // 存在匿名访问标记，跳过认证
        return AuthenticateResult.NoResult();
    }

    // 你的自定义认证逻辑（比如校验token、签名等）
    var claims = new List<Claim> { new Claim(ClaimTypes.Name, "test-user") };
    var identity = new ClaimsIdentity(claims, Scheme.Name);
    var principal = new ClaimsPrincipal(identity);
    return AuthenticateResult.Success(new AuthenticationTicket(principal, Scheme.Name));
}

2. 确保中间件顺序正确 #

这是很容易踩坑的点！认证中间件必须放在路由中间件之后，授权中间件之前，否则Context.GetEndpoint()会返回null，导致无法读取到Action上的属性标记。正确的Startup配置顺序应该是：

public void Configure(IApplicationBuilder app, IHostingEnvironment env)
{
    // ... 其他中间件（比如异常处理、静态文件）

    app.UseRouting(); // 先路由，解析Endpoint
    app.UseAuthentication(); // 认证中间件
    app.UseAuthorization(); // 授权中间件

    app.UseEndpoints(endpoints =>
    {
        endpoints.MapControllers();
    });
}

自定义[NoAuthentication]属性的实现方案 #

如果你确实需要一个自定义的匿名标记（比如区分不同的跳过场景），可以这么做：

1. 定义自定义属性 #

让它实现IAllowAnonymous接口，这样既能兼容上面的检查逻辑，也能被框架的其他部分识别：

[AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, AllowMultiple = false, Inherited = true)]
public class NoAuthenticationAttribute : Attribute, IAllowAnonymous
{
    // 可以根据需求添加自定义属性字段，比如备注信息
    public string Reason { get; set; }
}

2. 在Handler中检查自定义属性 #

如果需要单独处理这个自定义标记，或者同时兼容两种标记，可以修改Handler的检查逻辑：

protected override async Task<AuthenticateResult> HandleAuthenticateAsync()
{
    var endpoint = Context.GetEndpoint();
    if (endpoint == null)
    {
        // 没有端点信息，继续执行认证逻辑（或根据需求返回失败）
        return await base.HandleAuthenticateAsync();
    }

    // 检查自定义的NoAuthentication属性
    var noAuthAttr = endpoint.Metadata.GetMetadata<NoAuthenticationAttribute>();
    if (noAuthAttr != null)
    {
        // 可以根据noAuthAttr.Reason做日志记录等操作
        return AuthenticateResult.NoResult();
    }

    // 同时保留对默认AllowAnonymous的支持
    if (endpoint.Metadata.GetMetadata<IAllowAnonymous>() != null)
    {
        return AuthenticateResult.NoResult();
    }

    // 自定义认证逻辑
    // ...
}

这样，你的自定义[NoAuthentication]属性就能正常生效了，同时也兼容默认的[AllowAnonymous]。

内容的提问来源于stack exchange，提问作者stephan.peters