Asp.net 禁用WEB API令牌调用的获取功能
我使用ASP.NET WEB API 2开发了一个应用程序。应用程序已经完成,并且正在对其进行安全审查,但其中一个要求是必须禁用任何登录GET请求 我们正在通过POST调用令牌操作,但是安全团队发现,您仍然可以使用GET发出相同的请求,需要删除该请求。我知道令牌调用是一个内置于整个OWIN/OAUTH系统中的调用,但是是否可以将其配置为只接受POST请求并阻止GETAsp.net 禁用WEB API令牌调用的获取功能,asp.net,asp.net-identity,asp.net-web-api2,Asp.net,Asp.net Identity,Asp.net Web Api2,我使用ASP.NET WEB API 2开发了一个应用程序。应用程序已经完成,并且正在对其进行安全审查,但其中一个要求是必须禁用任何登录GET请求 我们正在通过POST调用令牌操作,但是安全团队发现,您仍然可以使用GET发出相同的请求,需要删除该请求。我知道令牌调用是一个内置于整个OWIN/OAUTH系统中的调用,但是是否可以将其配置为只接受POST请求并阻止GET 提前感谢。通过查看Katana项目源代码,我可以在Microsoft.Owin.Security.OAuth.OAuthAutho
提前感谢。通过查看Katana项目源代码,我可以在Microsoft.Owin.Security.OAuth.OAuthAuthorizationServerHandler中看到他们有以下检查:
if (Options.TokenEndpointPath.HasValue && Options.TokenEndpointPath == Request.Path)
{
matchRequestContext.MatchesTokenEndpoint();
}
public class OnlyPostTokenMiddleware : OwinMiddleware
{
private readonly OAuthAuthorizationServerOptions opts;
public OnlyPostTokenMiddleware(OwinMiddleware next, OAuthAuthorizationServerOptions opts) : base(next)
{
this.opts = opts;
}
public override Task Invoke(IOwinContext context)
{
if (opts.TokenEndpointPath.HasValue && opts.TokenEndpointPath == context.Request.Path && context.Request.Method == "POST")
{
return Next.Invoke(context);
}
context.Response.StatusCode = (int)HttpStatusCode.NotFound;
context.Response.ReasonPhrase = "Not Found";
return context.Response.WriteAsync("Not Found");
}
}
var authOptions = new OAuthAuthorizationServerOptions
{
TokenEndpointPath = new PathString("/token"),
Provider = Resolver.GetService<OAuthProvider>(),
AccessTokenExpireTimeSpan = TimeSpan.FromDays(1)
};
app.Use<OnlyPostTokenMiddleware>(authOptions);
app.UseOAuthAuthorizationServer(authOptions);
var authOptions=新的OAuthAuthorizationServerOptions
{
TokenEndpointPath=新路径字符串(“/token”),
Provider=Resolver.GetService(),
AccessTokenExpireTimeSpan=TimeSpan.FromDays(1)
};
应用程序使用(authOptions);
app.useAuthAuthorizationServer(authOptions);