堆棧內存溢出
  簡體   English   中英

.NET Core Web API 密鑰

[英].NET Core Web API key

 原文  2017-08-21 13:25:29       c#/ asp.net-core/ asp.net-identity

問題描述

我正在開發一個用戶可以通過用戶名和密碼進行身份驗證的應用程序,我們提供一個 JWT 令牌,然后在服務器上進行驗證。

我想補充的一件事是能夠擁有一個特殊的 API 密鑰 (guid),用戶在與此應用程序集成時可以使用它,而不是使用用戶名和密碼。

我不確定如何執行此操作,因為身份驗證部分似乎有點像一個黑匣子(使用 Aspnet Identity)。

這是我用於身份驗證設置的一些代碼。

啟動文件

public void ConfigureServices(IServiceCollection services)
{
    // Add framework services.
    services.AddDbContext<OmbiContext>(options =>
        options.UseSqlite("Data Source=Ombi.db"));

    services.AddIdentity<OmbiUser, IdentityRole>()
        .AddEntityFrameworkStores<OmbiContext>()
        .AddDefaultTokenProviders();

    services.Configure<IdentityOptions>(options =>
    {
        options.Password.RequireDigit = false;
        options.Password.RequiredLength = 1;
        options.Password.RequireLowercase = false;
        options.Password.RequireNonAlphanumeric = false;
        options.Password.RequireUppercase = false;
    });
}

public void Configure(IApplicationBuilder app, IHostingEnvironment env, ILoggerFactory loggerFactory, IMemoryCache cache)
{
    var tokenOptions = (IOptions<TokenAuthentication>)app.ApplicationServices.GetService(
        typeof(IOptions<TokenAuthentication>));

    var ctx = (IOmbiContext)app.ApplicationServices.GetService(typeof(IOmbiContext));

    var tokenValidationParameters = new TokenValidationParameters
    {

        ValidateIssuerSigningKey = true,
        IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(tokenOptions.Value.SecretKey)),

        RequireExpirationTime = true,
        ValidateLifetime = true,
        ValidAudience = "Ombi",
        ValidIssuer = "Ombi",
        ClockSkew = TimeSpan.Zero
    };

    app.UseJwtBearerAuthentication(new JwtBearerOptions()
    {
        Audience = "Ombi",
        AutomaticAuthenticate = true,
        TokenValidationParameters =  tokenValidationParameters,

    });
 //....
}

上面的代碼在控制器上具有[Authorized]屬性並檢查角色等時有效。

任何人都知道如何在包含此特殊 API 密鑰的所有請求上傳遞某種Api-Key標頭,以便它傳遞[Authorized]屬性? (密鑰存儲在數據庫中。)

2 個解決方案

解決方案1
 26 已采納  2017-11-27 08:23:09

這就是我最后所做的:

 public static void ApiKeyMiddlewear(this IApplicationBuilder app, IServiceProvider serviceProvider)
    {
        app.Use(async (context, next) =>
        {
            if (context.Request.Path.StartsWithSegments(new PathString("/api")))
            {
                // Let's check if this is an API Call
                if (context.Request.Headers["ApiKey"].Any())
                {
                    // validate the supplied API key
                    // Validate it
                    var headerKey = context.Request.Headers["ApiKey"].FirstOrDefault();
                    await ValidateApiKey(serviceProvider, context, next, headerKey);
                }
                else if (context.Request.Query.ContainsKey("apikey"))
                {
                    if (context.Request.Query.TryGetValue("apikey", out var queryKey))
                    {
                        await ValidateApiKey(serviceProvider, context, next, queryKey);
                    }
                }
                else
                {
                    await next();
                }
            }
            else
            {
                await next();
            }
        });
    }

    private static async Task ValidateApiKey(IServiceProvider serviceProvider, HttpContext context, Func<Task> next, string key)
    {
        // validate it here
        var valid = false;
        if (!valid)
        {
            context.Response.StatusCode = (int)HttpStatusCode.Unauthorized;
            await context.Response.WriteAsync("Invalid API Key");
        }
        else
        {
            var identity = new GenericIdentity("API");
            var principal = new GenericPrincipal(identity, new[] { "Admin", "ApiUser" });
            context.User = principal;
            await next();
        }
    }

自從我回答了最初的問題(答案仍然有效)以來,情況發生了很大變化。 但你可以在這里閱讀: http : //jamietech.com/2019/03/25/net-core-jwt-api-key/

解決方案2
 2  2018-06-21 10:37:24

在此鏈接上有一篇關於在標頭請求中使用 api 密鑰的好文章: http : //www.mithunvp.com/write-custom-asp-net-core-middleware-web-api/

總而言之,在 ASP.NET Core 中,您可以使用中間件來控制 http 管道配置。 中間件有效地替代了 HttpHandlers,后者用於較早版本的 asp.net MVC。

暫無
暫無

聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 .Net Core Web API 具有外鍵關系的ASP.NET Core Web API和EF Core模型 .NET CORE Web API 路由 .NET 核心 Web API 身份驗證和 .NET 身份 ASP.NET Core 2.1 Web.API更改應用程序見解的日志記錄檢測鍵 如何在 .NET Core Web API 中的字典鍵中將枚舉轉換為 int ASP.NET 核心 Web API - 實體類型'IdentityUserRole<long> ' 需要定義一個主鍵</long> 如何將值作為字符串數組傳遞給 ASP.NET 核心 Web ZDB974238714CA8DE634A7CE1D08 中的 json 鍵 如何在 ASP.NET Core 3.1 Web API 中將鍵值從結果轉換為大寫 如何在 ASP.NET Core 6 Web API 中使用一對一關系將外鍵添加到表中?
相關標簽
 
粵ICP備18138465號  © 2020-2024 STACKOOM.COM