我有一个连续计划的Web作业,它正在监视消息队列,关闭消息并在对等Web站点上调用Web API来处理消息(在这种情况下使用SignalR向适当的用户发送通知)。
在这种情况下,安全地调用Web API的最佳方法是什么?否则,在网站中托管的API显然是公开的。也许使用Basic Auth或在配置中存储安全令牌并将其从作业传递到Web API。或者创建自定义AuthorizeAttribute?
非常感谢Ant关于从WebJob保护Web API调用的想法。 API只能从WebJob中调用。
更新 这样的事可能呢?
首先我声明这个类;
public class TokenAuthenticationHeaderValue : AuthenticationHeaderValue
{
public TokenAuthenticationHeaderValue(string token)
: base("Token", Convert.ToBase64String(Encoding.UTF8.GetBytes(token)))
{ }
}
然后调用者(WebJob)在发出HTTP请求时使用此类设置auth标头;
using (var client = new HttpClient())
{
client.BaseAddress = new Uri(/* something */);
client.DefaultRequestHeaders.Accept.Clear();
client.DefaultRequestHeaders.Accept.Add(new MediaTypeWithQualityHeaderValue("application/json"));
client.DefaultRequestHeaders.Authorization = new TokenAuthenticationHeaderValue("TOKEN FROM CONFIG");
// ....
在Web API中,我们检查请求在auth标头中查找预期的标记,目前代码非常难看,但这可以放入自定义属性中;
public HttpResponseMessage Post([FromBody]TheThing message)
{
var authenticationHeader = Request.Headers.Authorization;
var token = Encoding.UTF8.GetString(Convert.FromBase64String(authenticationHeader.Parameter));
if (authenticationHeader.Scheme != "Token" || token != "TOKEN FROM CONFIG")
{
return Request.CreateErrorResponse(HttpStatusCode.Unauthorized, "No, no, no. That's naughty!");
}
// All OK, carry on.
因此,WebJob通过这种方式调用对等网站上的Web API,并通过传递安全保存在Azure配置中的令牌来实现安全性,站点和作业都可以访问此令牌。
有更好的想法吗?