我在C#ASP Net Core中为后端创建了一个API。我试图找到一种方法来授权路由,以便它将在URL中接收API密钥,例如" https://mywebsite.com/api/data/first?key=VX4HCOjtMQ6ZF978a245oLw00SfK0ahm"验证路由并以JSON格式显示数据。
我知道在ASP NET Core身份中有一种方法可以验证路由,但这需要用户先登录。如何使用API密钥保护我的API路由?
答案 0 :(得分:1)
您尝试做的事情无法保护网络API。我建议您查看OAuth / OpenID。有一个名为Identity Server 4的开源.net核心实现。
但是,要回答您的问题,您可以创建自定义属性来验证传递给您的操作的密钥,或者您可以简单地处理每个操作中的验证。在.net核心中没有内置的方法来执行此操作,您必须手动处理api密钥,就像传递给您的web api的任何其他值一样。
答案 1 :(得分:1)
从它的声音来看,您要实现的是另一种身份验证系统和使用此key查询字符串参数的自定义授权系统(可能不是最佳设计)。
第一步是根据此QueryString参数对用户进行身份验证。现在最好的方法(IMO)是滚动自己的身份验证处理程序。查看代码Aspnet Security揭示了一些现有身份验证系统的内部工作原理。
有效的是,我们将尽早拦截请求以验证此key是否存在,然后对请求进行身份验证。
下面的内容显示了这个基本系统。
public class QueryStringAuthOptions : AuthenticationOptions
{
public const string QueryStringAuthSchema = "QueryStringAuth";
public const string QueryStringAuthClaim = "QueryStringKey";
public QueryStringAuthOptions()
{
AuthenticationScheme = QueryStringAuthSchema;
}
public string QueryStringKeyParam { get; set; } = "key";
public string ClaimsTypeName { get; set; } = "QueryStringKey";
public AuthenticationProperties AuthenticationProperties { get; set; } = new AuthenticationProperties();
}
public class QueryStringAuthHandler : AuthenticationHandler<QueryStringAuthOptions>
{
/// <summary>
/// Handle authenticate async
/// </summary>
/// <returns></returns>
protected override Task<AuthenticateResult> HandleAuthenticateAsync()
{
if (Request.Query.TryGetValue(Options.QueryStringKeyParam, out StringValues value) && value.Count > 0)
{
var key = value[0];
//..do your authentication...
if (!string.IsNullOrWhiteSpace(key))
{
//setup you claim
var claimsPrinciple = new ClaimsPrincipal();
claimsPrinciple.AddIdentity(new ClaimsIdentity(new[] { new Claim(Options.ClaimsTypeName, key) }, Options.AuthenticationScheme));
//create the result ticket
var ticket = new AuthenticationTicket(claimsPrinciple, Options.AuthenticationProperties, Options.AuthenticationScheme);
var result = AuthenticateResult.Success(ticket);
return Task.FromResult(result);
}
}
return Task.FromResult(AuthenticateResult.Fail("Key not found or not valid"));
}
}
现在上述内容非常简单,我们已经创建了一个自定义AuthenticationOptions类,我们将在自定义AuthenticationHandler中使用该类。如您所见,这非常简单,但最终我们正在创建有效的身份验证故障单(ClaimsPrinciple)并使用Success结果或Fail()进行回复。
接下来,我们需要在.Net管道中使用身份验证系统(请注意,这是1.2,因为2.0已更改,请参阅Auth 2.0 Migration)。这是通过AuthenticationMiddleware完成的,所以我们之前创建了中间件的简单实现。
public class QueryStringAuthMiddleware : AuthenticationMiddleware<QueryStringAuthOptions>
{
public QueryStringAuthMiddleware(RequestDelegate next, IOptions<QueryStringAuthOptions> options, ILoggerFactory loggerFactory, UrlEncoder encoder)
: base(next, options, loggerFactory, encoder)
{
}
protected override AuthenticationHandler<QueryStringAuthOptions> CreateHandler()
{
return new QueryStringAuthHandler();
}
}
这是非常基本的,但只是创建一个新的QueryStringAuthHandler()来处理Authenticate请求。 (我们之前创建的那个)。现在我们需要将这个中间件放入管道中。因此,遵循.Net约定,静态扩展类可以通过管理选项来实现此目的。
public static class QueryStringAuthMiddlewareExtensions
{
public static IApplicationBuilder UseQueryStringAuthentication(this IApplicationBuilder appBuilder)
{
if (appBuilder == null)
throw new ArgumentNullException(nameof(appBuilder));
var options = new QueryStringAuthOptions();
return appBuilder.UseQueryStringAuthentication(options);
}
public static IApplicationBuilder UseQueryStringAuthentication(this IApplicationBuilder appBuilder, Action<QueryStringAuthOptions> optionsAction)
{
if (appBuilder == null)
throw new ArgumentNullException(nameof(appBuilder));
var options = new QueryStringAuthOptions();
optionsAction?.Invoke(options);
return appBuilder.UseQueryStringAuthentication(options);
}
public static IApplicationBuilder UseQueryStringAuthentication(this IApplicationBuilder appBuilder, QueryStringAuthOptions options)
{
if (appBuilder == null)
throw new ArgumentNullException(nameof(appBuilder));
if (options == null)
throw new ArgumentNullException(nameof(options));
return appBuilder.UseMiddleware<QueryStringAuthMiddleware>(Options.Create(options));
}
}
到目前为止,有很多代码可以使身份验证系统到位,但这是跟随.net核心团队提供的许多示例。
身份验证中间件工作的最后一步是修改startup.cs文件并添加身份验证系统。
// This method gets called by the runtime. Use this method to add services to the container.
public void ConfigureServices(IServiceCollection services)
{
services.AddAuthentication(); //adds the auth services
services.AddMvc();
}
// This method gets called by the runtime. Use this method to configure the HTTP request pipeline.
public void Configure(IApplicationBuilder app, IHostingEnvironment env, ILoggerFactory loggerFactory)
{
loggerFactory.AddConsole(Configuration.GetSection("Logging"));
loggerFactory.AddDebug();
app.UseQueryStringAuthentication(); //add our query string auth
//add mvc last
app.UseMvc();
}
我们几乎就在那里,到目前为止,我们有我们的机制来验证请求,最好我们创建声明(可以扩展)以在需要时保存更多信息。最后一步是Authorize请求。这很容易,我们需要做的就是告诉您正在使用的模式的默认授权处理程序,此外我们还需要我们之前应用的声明。返回ConfigureServices startup.cs方法,我们只需AddAuthorization进行一些设置。
public void ConfigureServices(IServiceCollection services)
{
services.AddAuthorization(o =>
{
//override the default policy
o.DefaultPolicy = new AuthorizationPolicy(new[] { new ClaimsAuthorizationRequirement(QueryStringAuthOptions.QueryStringAuthClaim, new string[0]) }, new[] { QueryStringAuthOptions.QueryStringAuthSchema });
//or add a policy
//o.AddPolicy("QueryKeyPolicy", options =>
//{
// options.RequireClaim(QueryStringAuthOptions.QueryStringAuthClaim);
// options.AddAuthenticationSchemes(QueryStringAuthOptions.QueryStringAuthSchema);
//});
});
services.AddAuthentication(o =>
{
o.SignInScheme = QueryStringAuthOptions.QueryStringAuthSchema;
}); //adds the auth services
services.AddMvc();
}
在上面的代码片段中,我们有两个选项。
DefaultPolicy或Policy。现在您使用哪个选项取决于您。使用后面的选项要求您明确告诉Authorization处理程序AuthorizationPolicy使用哪个。
我建议你阅读Custom Policy-Based Authorization以了解这些是如何运作的。
要使用此授权系统(取决于您上面的选项),您只需使用AuthorizeAttribute()(如果使用第二个选项,使用策略名称)装饰您的控制器。