目前正在使用 .NET CORE 3.1 和 Identity 构建 API 来管理我们的身份验证/授权。我们希望使用生成的 API key 而不是需要刷新的短期 token (它不适合我们的用例场景)。
我们想要做的是为用户/第三方提供生成 API key 的选项,并允许他们将身份角色分配给 API key 而不是用户。这样我们仍然可以使用 [Authorize] 属性来授予/限制他们对特定端点的访问。
我们有一个用户表,用于处理核心应用程序本身内的身份验证/授权,并有一个存储生成的 API key 的表。一个用户可以生成多个 API key (例如,一个对端点具有只读权限,一个具有写入权限)。我们只需要将 API key 链接到身份角色,并在通过请求 header 传入 API key 时利用 [Authorize] 属性。
有人对如何进行这项工作有任何想法/建议吗?或者关于这是否是一个坏主意以及如何做得更好的任何建议?任何建议表示赞赏。
最佳答案
您可以覆盖许多 JWT 示例使用的 [Authorize] 属性,但它有点笨拙的解决方案,可以让 JWT 做一些它不应该做的事情。
我的建议是将 API key 添加为 API 端点的请求参数,并将任何数据负载放入请求正文中。例如/api/someendpoint/?apiKey={some_api_key}然后,您可以为 API Controller 创建一个 BaseController 类,以便在需要时对其进行继承以对 key 执行验证检查。
这将不允许您根据需要使用 [Authorize] 属性,但它可以让您在短期内启动并运行。一旦您掌握了主要概念,创建自定义 [AuthorizeApiKey] 属性就不会太远,但这需要您进行调查。
这是一些示例代码。
BaseController.cs
public class BaseController : Controller
{
...
// Returns true if key is valid, returns false if invalid
protected async Task<bool> ValidateApiKey(string apiKey)
{
var result = false;
// Logic to check API key...
return result;
}
...
}
[Area("API")]
[Route("api/[controller]")]
[ApiController]
public class SomeApiController : BaseController
{
[HttpGet]
public async Task<IActionResult> GetWidgets(string apiKey)
{
var authorized = ValidateApiKey(apiKey);
// If key is invalid, return a relevant response
if(!authorized) return Unauthorized();
// Otherwise, process the request and return the expected result
var widgets = _SomeWidgetService.GetWidgets();
return Created(widgets);
}
[HttpPost]
public async Task<IActionResult> CreateWidget(string apiKey, [FromBody] WidgetClass widget)
{
var authorized = ValidateApiKey(apiKey);
// If key is invalid, return a relevant response
if(!authorized) return Unauthorized();
// Otherwise process the rest of the action
var result = (bool)_SomeWidgetService.CreateWidget(widget);
if(result)
return Created();
else
return BadRequest();
}
}
关于c# - .NET Core API key 和身份集成,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/63112688/