2. 程式人生 > WINDOWS開發 >ASP.NET Core 中基於 API Key 對私有 Web API 進行保護

ASP.NET Core 中基於 API Key 對私有 Web API 進行保護

阿新 發佈:2020-05-20
原文:ASP.NET Core 中基於 API Key 對私有 Web API 進行保護

這兩天遇到一個應用場景,需要對內網呼叫的部分 web api 進行安全保護,只允許請求頭賬戶包含指定 key 的客戶端進行呼叫。在網上找到一篇英文博文 ASP.NET Core - Protect your API with API Keys,該文中的程式碼完美基於 ASP.NET Core 內建的鑑權(Authentication) 與授權(Authorization)機制解決了這個問題,於是站在巨人的肩上自己實現了一遍,在這篇隨筆中做個記錄。

ASP.NET Core Authentication 與 Authorization 實現的開原始碼在

https://github.com/aspnet/AspNetCore/tree/master/src/Security

使用 API Key 對私有 Web API 進行保護,實際就是通過自定義的 AuthenticationHandler 對 ASP.NET Core Authentication 的鑑權能力進行擴充套件,具體實現分4步。

1)實現配角(配置選項)ApiKeyAuthenticationOptions

public class ApiKeyAuthenticationOptions : AuthenticationSchemeOptions
{
    public const
 
 string DefaultScheme = "ApiKey";
    public string Scheme { get; set; } = DefaultScheme;
    public string AuthenticationType { get; set; } = DefaultScheme;
}

這裡的示例程式很簡單,選項只用於定義 DefaultScheme 。

2)實現主角 ApiKeyAuthenticationHandler

public class ApiKeyAuthenticationHandler : AuthenticationHandler
 
<ApiKeyAuthenticationOptions>
{
    private const string HEADER_NAME = "X-Api-Key";
    private readonly (string Owner,string Key)[] _apiKeys = new[] { ("test","xxx123yyy456zzz") };
    private readonly ApiKeyAuthenticationOptions _options;

    public ApiKeyAuthenticationHandler(
        IOptionsMonitor<ApiKeyAuthenticationOptions> options,ILoggerFactory logger,UrlEncoder Encoder,ISystemClock clock) : base(options,logger,Encoder,clock)
    {
        _options = options.CurrentValue;
    }

    protected override async Task<AuthenticateResult> HandleAuthenticateAsync()
    {
        var providedApiKey = Context.Request.Headers[HEADER_NAME].FirstOrDefault();
        if (string.IsNullOrWhiteSpace(providedApiKey))
        {
            return AuthenticateResult.NoResult();
        }

        var apiKey = _apiKeys.FirstOrDefault(k => k.Key == providedApiKey);
        if (apiKey != default)
        {
            var claims = new[]
            {
                new Claim(ClaimTypes.Name,apiKey.Owner)
            };
            var identity = new ClaimsIdentity(claims,authenticationType: _options.AuthenticationType);
            var identities = new List<ClaimsIdentity> { identity };
            var principal = new ClaimsPrincipal(identities);
            var ticket = new AuthenticationTicket(principal,authenticationScheme: _options.Scheme);

            await Task.CompletedTask;
            return AuthenticateResult.Success(ticket);
        }

        return AuthenticateResult.Fail("Invalid API Key provided.");
    }
}

在 override 方法 HandleAuthenticateAsync 中實現基於 API Key 對私有 Web API 進行保護的鑑權邏輯,根據客戶端請求頭進行驗證,如果是合法請求,就發一個 ticket 。有了這張門票, 如果只要有門票就能通過(比如加了[Authorize]宣告), 沒有其他授權要求,Authorization 就會直接放行。

3)實現跑龍套的 AuthenticationBuilderExtensions 擴充套件方法

public static class AuthenticationBuilderExtensions
{
    public static AuthenticationBuilder AddApiKeySupport(this AuthenticationBuilder authenticationBuilder)
    {
        return authenticationBuilder.AddScheme<ApiKeyAuthenticationOptions,ApiKeyAuthenticationHandler>(
            ApiKeyAuthenticationOptions.DefaultScheme,options => { });
    }

    public static AuthenticationBuilder AddApiKeySupport(this AuthenticationBuilder authenticationBuilder,Action<ApiKeyAuthenticationOptions> options)
    {
        return authenticationBuilder.AddScheme<ApiKeyAuthenticationOptions,options);
    }
}

這個擴充套件方法只是為了方便在 Startup 中新增 ApiKeyAuthenticationHandler 。

4)開始演戲
Startup.ConfigureServices 中配置 Authentication

services.AddAuthentication(options =>
{
    options.DefaultScheme = ApiKeyAuthenticationOptions.DefaultScheme;
    options.DefaultChallengeScheme = ApiKeyAuthenticationOptions.DefaultScheme;
}).AddApiKeySupport();

Startup.Configure 中新增 Authentication 與 Authorization 中介軟體(注:一定要放在 app.UseRouting 之後)

app.UseRouting();
app.UseAuthentication();
app.UseAuthorization();
app.UseEndpoints(endpoints =>
{
    endpoints.MapControllers();
});

對需要保護的 web api 新增 [Authorize] 宣告

[Authorize]
public async Task<bool> ProtectedAction()
{
    //...
}

搞定。

相關推薦

ASP.NET Core 基於 API Key 私有 Web API 進行保護

原文:ASP.NET Core 中基於 API Key 對私有 Web API 進行保護 這兩天遇到一個應用場景,需要對內網呼叫的部分 web api 進行安全保護,只允許請求頭賬戶包含指定 key 的客戶端進行呼叫。在網上找到一篇英文博文 ASP.N

ASP.NET Core 基於工廠的中介軟體啟用

IMiddlewareFactory/IMiddleware是中介軟體啟用的擴充套件點。 UseMiddleware擴充套件方法檢查中介軟體的已註冊型別是否實現IMiddleware。如果是,則使用在容器註冊的IMiddlewareFactory例項來解析IMiddleware實現

詳解ASP.NET Core 基於工廠的中介軟體啟用的實現方法

IMiddlewareFactory/IMiddleware是中介軟體啟用的擴充套件點。 UseMiddleware擴充套件方法檢查中介軟體的已註冊型別是否實現IMiddleware。如果是,則使用在容器註冊的IMiddlewareFactory例項來解析IMiddleware實現

如何在 ASP.Net Core 實現 資料保護API

ASP.Net Core 資料保護提供了一種非常簡單的方法來加密API,從而保護資料的安全,通常落地的做法就是 資料加密 和 資料解密,這篇文章我們就來一起看看如何使用 資料保護API

Asp.Net Core使用ModelConvention實現全域性過濾器隔離

從何說起 這來自於我把專案遷移到Asp.Net Core的過程碰到一個問題。在一個web程式同時包含了MVC和WebAPI,現在需要給WebAPI部分單獨新增一個介面驗證過濾器 IActionFilter ,常規做法一般是寫好過濾器後給需要的

ASP.NET Core的Http快取使用

Http響應快取可減少客戶端或代理web伺服器發出的請求數。響應快取還減少了web伺服器生成響應所需的工作量。響應快取由Http請求的header控制。

淺談ASP.NET Core jwt授權認證的流程原理

1,快速實現授權驗證 什麼是 JWT ?為什麼要用 JWT ?JWT 的組成? 這些百度可以直接找到,這裡不再贅述。

ASP.NET Core的Controller使用示例

ASP.NET CORE出現之前我們實現的Controller,MVC都繼承自Controller基類,WebApi的話繼承自ApiController。現在ASP.NET CORE把MVC跟WebApi合併了,已經不再區分MVC或者WebApi。ASP.NET CORE的Controller繼承結構也發

詳解ASP.NET Core配置監聽URLs的五種方式

預設情況下,ASP. NET Core應用會監聽一下2個Url: http://localhost:5000 https://localhost:5001

ASP.NET Core的Action的返回值型別實現

Asp.net Core之前所有的Action返回值都是ActionResult,Json(),File()等方法返回的都是ActionResult的子類。並且Core把MVC跟WebApi合併之後Action的返回值體系也有了很大的變化。

Asp.net Core實現自定義身份認證的示例程式碼

Asp.Net Core雖然集成了許多常用的身份認證,但很多時候,我們還是需要實現自己的身份認證介面,本文這裡就簡單的介紹下如何實現自定義身份認證介面。

重學ASP.NET Core 的標記幫助程式

標記幫助程式是什麼 標記幫助程式使伺服器端程式碼可以在 Razor 檔案參與建立和呈現 HTML 元素。 例如,內建的 ImageTagHelper 可以將版本號追加到圖片名稱。  每當圖片發生變化時,伺服器都會為影象生成一個新

【Blazor】在ASP.NET Core使用Blazor元件 - 建立一個音樂播放器

前言 Blazor正式版的釋出已經有一段時間了,.NET社群的各路高手也建立了一個又一個的Blazor元件庫,其中就包括了我和其他小夥伴一起參與的AntDesign元件庫,於上週終於釋出了第一個版本0.1.0,共計完成了59個常用元件

ASP.NET CoreASP.NET Core使用NLog記錄日誌

一、前言 在所有的應用程式,日誌功能是不可或缺的模組,我們可以根據日誌資訊進行除錯、檢視產生的錯誤資訊,在ASP.NET Core中我們可以使用log4net或者NLog日誌元件來實現記錄日誌的功能,這裡講解如何在ASP.NET

ASP.NET Core建立自定義端點視覺化圖

在上篇文章,我為構建自定義端點視覺化圖奠定了基礎,正如我在第一篇文章展示的那樣。該圖顯示了端點路由的不同部分:文字值,引數,動詞約束和產生結果的端點:

ASP.NET Core的身份驗證Authentication

ASP.NET Core的身份驗證Authentication 1. Authentioncation vs Authorization身份驗證和授權驗證的區別

ASP.NET Core的響應壓縮

介紹     響應壓縮技術是目前Web開發領域比較常用的技術,在頻寬資源受限的情況下,使用壓縮技術是提升頻寬負載的首選方案。我們熟悉的Web伺服器,比如IIS、Tomcat、Nginx、Apache等都可以使用壓縮技術,常用的

ASP.NET Core的響應壓縮的實現

介紹# 響應壓縮技術是目前Web開發領域比較常用的技術,在頻寬資源受限的情況下,使用壓縮技術是提升頻寬負載的首選方案。我們熟悉的Web伺服器,比如IIS、Tomcat、Nginx、Apache等都可以使用壓縮技術,常用的壓縮型

ASP.NET Core修改配置檔案後自動載入新配置的方法詳解

前言 在 ASP.NET Core 預設的應用程式模板, 配置檔案的處理如下面的程式碼所示:

Asp.Net MVC使用中介軟體要訪問的頁面進行Session判斷

一、當我們開發一個網站的時候,會給網站加訪問許可權,比如:只有登入之後才能去訪問某些頁面。