如何保护开放/公共Web API端点

时间:2017-06-13 10:12:09

标签: asp.net-core asp.net-core-webapi

我有一些Web API个端点没有身份验证/授权,因为它也可以用于访客用户。这些端点将直接通过XHR/Ajax/JS使用。但是,我想允许来自少数几个来源的请求。为此,我使用了下面的Cors中间件:

配置服务方法

services.AddCors(options =>
{
    options.AddPolicy("AllowSpecific", builder => 
        builder.WithOrigins("http://localhost:55476")
            .AllowAnyHeader()
            .AllowAnyMethod());
});

配置方法

app.UseCors("AllowSpecific");

此限制适用于来自浏览器的请求。但是,如果请求来自Http客户端,例如PostmanFiddler等,则请求会通过。

有没有办法解决这种情况?

1 个答案:

答案 0 :(得分:1)

由于目前缺少更好的替代方案,我已将CORS中间件替换为自定义中间件,该中间件将检查每个请求的标头Origin并根据配置允许/限制。这适用于跨浏览器请求和HTTP客户端请求。

<强>中间件

public class OriginRestrictionMiddleware
{
    private readonly RequestDelegate _next;
    private readonly IConfiguration _configuration;
    private readonly ILogger _logger;

    public OriginRestrictionMiddleware(RequestDelegate next, IConfiguration configuration, ILoggerFactory loggerFactory)
    {
        _next = next;
        _configuration = configuration;
        _logger = loggerFactory.CreateLogger<OriginRestrictionMiddleware>();
    }

    public Task Invoke(HttpContext context)
    {
        try
        {
            var allowedOriginsConfig = _configuration.GetSection("AllowedOrigins").Value;

            var allowedOrigins = allowedOriginsConfig.Split(',');

            _logger.LogInformation("Allowed Origins: " + allowedOriginsConfig);

            var originHeader = context.Request.Headers.Where(h => h.Key == "Origin");
            if (originHeader.Any())
            {
                var requestOrigin = originHeader.First().Value.ToString();

                _logger.LogInformation("Request Origin: " + requestOrigin);

                foreach (var origin in allowedOrigins)
                {
                    //if(origin.StartsWith(requestOrigin))
                    if (requestOrigin.Contains(origin))
                    {
                        return _next(context);
                    }
                }
            }

            context.Response.StatusCode = 401;
            return context.Response.WriteAsync("Not Authorized");
        }
        catch(Exception ex)
        {
            _logger.LogInformation(ex.ToString());
            throw;
        }
    }
}

public static class OriginRestrictionMiddlewareExtension
{
    public static IApplicationBuilder UseOriginRestriction(this IApplicationBuilder builder)
    {
        return builder.UseMiddleware<OriginRestrictionMiddleware>();
    }
}

启动配置

app.UseOriginRestriction();

<强> AppSettings.json

"AllowedOrigins": "http://localhost:55476,http://localhost:55477,chrome-extension"

chrome-extension条目允许Postman在开发期间提出请求。部署到服务器时将删除它。

我怀疑这种解决方案也可以通过这种或那种方式绕过。但是,我希望它适用于大多数情况。