C# .NET核心API密钥和;身份整合
目前正在使用.NET CORE 3.1和Identity构建一个API,以在其中管理我们的身份验证/授权。我们希望使用生成的API键,而不是需要刷新的短生命令牌(这不适合我们的用例场景) 我们想要做的是为用户/第三方提供生成API密钥的选项,并允许他们将身份角色分配给API密钥,而不是用户。这样,我们仍然可以使用[Authorize]属性来授予/限制他们对特定端点的访问 我们有一个用户表,用于处理核心应用程序本身内的身份验证/授权,还有一个存储生成的API密钥的表。一个用户可以生成多个API密钥(例如,一个具有对端点的只读权限,另一个具有写入权限)。我们只需要将API密钥链接到身份角色,并在通过请求头传入所述API密钥时使用[Authorize]属性C# .NET核心API密钥和;身份整合,c#,asp.net-core,asp.net-identity,asp.net-core-webapi,C#,Asp.net Core,Asp.net Identity,Asp.net Core Webapi,目前正在使用.NET CORE 3.1和Identity构建一个API,以在其中管理我们的身份验证/授权。我们希望使用生成的API键,而不是需要刷新的短生命令牌(这不适合我们的用例场景) 我们想要做的是为用户/第三方提供生成API密钥的选项,并允许他们将身份角色分配给API密钥,而不是用户。这样,我们仍然可以使用[Authorize]属性来授予/限制他们对特定端点的访问 我们有一个用户表,用于处理核心应用程序本身内的身份验证/授权,还有一个存储生成的API密钥的表。一个用户可以生成多个API密钥
有没有人对如何实现这一目标有什么想法/建议?或者,对于这是否是一个坏主意以及如何做得更好,有什么建议吗?任何建议都值得赞赏。您可以覆盖许多JWT示例所使用的[Authorize]属性,但将JWT弯曲到它不打算做的事情,这是一个有点粗糙的解决方案 我的建议是将API密钥添加为API端点的请求参数,并将任何数据有效负载放在请求主体中。e、 g.
/api/someendpoint/?apiKey={some\u api\u key}public class BaseController : Controller
{
...
// Returns true if key is valid, returns false if invalid
protected async Task<bool> ValidateApiKey(string apiKey)
{
var result = false;
// Logic to check API key...
return result;
}
...
}
[Area("API")]
[Route("api/[controller]")]
[ApiController]
public class SomeApiController : BaseController
{
[HttpGet]
public async Task<IActionResult> GetWidgets(string apiKey)
{
var authorized = ValidateApiKey(apiKey);
// If key is invalid, return a relevant response
if(!authorized) return Unauthorized();
// Otherwise, process the request and return the expected result
var widgets = _SomeWidgetService.GetWidgets();
return Created(widgets);
}
[HttpPost]
public async Task<IActionResult> CreateWidget(string apiKey, [FromBody] WidgetClass widget)
{
var authorized = ValidateApiKey(apiKey);
// If key is invalid, return a relevant response
if(!authorized) return Unauthorized();
// Otherwise process the rest of the action
var result = (bool)_SomeWidgetService.CreateWidget(widget);
if(result)
return Created();
else
return BadRequest();
}
}
公共类BaseController:控制器
{
...
//如果密钥有效,则返回true;如果无效,则返回false
受保护的异步任务ValidatePikey(字符串apiKey)
{
var结果=假;
//检查API密钥的逻辑。。。
返回结果;
}
...
}
public class BaseController : Controller
{
...
// Returns true if key is valid, returns false if invalid
protected async Task<bool> ValidateApiKey(string apiKey)
{
var result = false;
// Logic to check API key...
return result;
}
...
}
[Area("API")]
[Route("api/[controller]")]
[ApiController]
public class SomeApiController : BaseController
{
[HttpGet]
public async Task<IActionResult> GetWidgets(string apiKey)
{
var authorized = ValidateApiKey(apiKey);
// If key is invalid, return a relevant response
if(!authorized) return Unauthorized();
// Otherwise, process the request and return the expected result
var widgets = _SomeWidgetService.GetWidgets();
return Created(widgets);
}
[HttpPost]
public async Task<IActionResult> CreateWidget(string apiKey, [FromBody] WidgetClass widget)
{
var authorized = ValidateApiKey(apiKey);
// If key is invalid, return a relevant response
if(!authorized) return Unauthorized();
// Otherwise process the rest of the action
var result = (bool)_SomeWidgetService.CreateWidget(widget);
if(result)
return Created();
else
return BadRequest();
}
}
[区域(“API”)]
[路由(“api/[控制器]”)]
[ApiController]
公共类SomeApicController:BaseController
{
[HttpGet]
公共异步任务GetWidgets(字符串apiKey)
{
var授权=ValidateAppikey(apiKey);
//如果密钥无效,则返回相关响应
如果(!authorized)返回Unauthorized();
//否则,处理请求并返回预期结果
var widgets=_SomeWidgetService.GetWidgets();
创建的返回(小部件);
}
[HttpPost]
公共异步任务CreateWidget(字符串apiKey,[FromBody]WidgetClass小部件)
{
var授权=ValidateAppikey(apiKey);
//如果密钥无效,则返回相关响应
如果(!authorized)返回Unauthorized();
//否则,处理其余的操作
var result=(bool)\u SomeWidgetService.CreateWidget(widget);
如果(结果)
返回已创建();
其他的
返回请求();
}
}