Пользовательская аутентификация .Net Core с использованием ключей API с Identity Server 4

У меня есть веб-API .NET Core 2.2, который аутентифицируется с помощью токенов JWT. Токены генерируются Identity Server 4 в отдельном API.

Вся аутентификация и авторизация работают, как и ожидалось, с токенами JWT. Но мне нужно расширить это, чтобы разрешить использование ключей API. Если предоставлен ключ API, я хочу загрузить утверждения этого конкретного пользователя, добавить его в запрос и позволить атрибуту авторизации работать с установленными политиками.

Вот что я сделал до сих пор, следуя предложениям здесь. Моя ошибка точно такая же, как в связанном посте, и она также работает для меня, используя GenericPrincipal с набором ролей, но я использую AuthorizationPolicies, и я всегда получаю ошибку 401 с моей текущей реализацией, что дает мне ошибки, аналогичные ссылке выше.

Startup.cs

public void ConfigureServices(IServiceCollection services)
    {
        services.AddMvcCore(options =>
        {
            options.Filters.Add(new RequireHttpsAttribute());
            options.Filters.Add(new AuthorizeFilter());
            options.Filters.Add(typeof(ValidateModelStateAttribute));
            options.AllowEmptyInputInBodyModelBinding = true;
        })
        .AddAuthorization(options =>
        {
            options.AddPolicies();
        })
        .AddJsonFormatters();

        services.AddAuthentication(IdentityServerAuthenticationDefaults.AuthenticationScheme)
            .AddIdentityServerAuthentication(options =>
            {
                options.Authority = Configuration["Authentication:Authority"];
                options.RequireHttpsMetadata = true;
                options.ApiName = Configuration["Authentication:ApiName"];
            });
        services.AddCors();
    }

public void Configure(IApplicationBuilder app, IHostingEnvironment env)
    {
        if (env.IsDevelopment())
        {
            app.UseDeveloperExceptionPage();
        }
        else
        {
            // The default HSTS value is 30 days. You may want to change this for production scenarios, see https://aka.ms/aspnetcore-hsts.
            app.UseHsts();
        }

        app.UseCors(policy =>
        {
            policy.AllowAnyHeader();
            policy.AllowAnyMethod();
            policy.AllowAnyOrigin();
        });

        app.UseHttpsRedirection();
        app.UseMiddleware<ApiKeyMiddleware>();
        app.UseAuthentication();
        app.UseMvc();
    }

AuthorizationPolicies.cs

public static class AuthorizationPolicies
{
    public const string ReadUsersPolicy = "ReadUsers";
    public const string EditUsersPolicy = "EditUsers";

    public static void AddPolicies(this AuthorizationOptions options)
    {
        options.AddPolicy(ReadUsersPolicy, policy => policy.RequireClaim(Foo.Permission, Foo.CanReadUsers));
        options.AddPolicy(EditUsersPolicy, policy => policy.RequireClaim(Foo.Permission, Foo.CanEditUsers));
    }
}

ApiKeyПромежуточное ПО

public class ApiKeyMiddleware
{
    public ApiKeyMiddleware(RequestDelegate next)
    {
        _next = next;
    }
    private readonly RequestDelegate _next;

    public async Task Invoke(HttpContext context)
    {
        if (context.Request.Path.StartsWithSegments(new PathString("/api")))
        {
            if (context.Request.Headers.Keys.Contains("ApiKey", StringComparer.InvariantCultureIgnoreCase))
            {
                var headerKey = context.Request.Headers["ApiKey"].FirstOrDefault();
                await ValidateApiKey(context, _next, headerKey);
            }
            else
            {
                await _next.Invoke(context);
            }
        }
        else
        {
            await _next.Invoke(context);
        }
    }

    private async Task ValidateApiKey(HttpContext context, RequestDelegate next, string key)
    {
        var userClaimsService = context.RequestServices.GetService<IUserClaimsService>();
        List<string> permissions = (await userClaimsService.GetAllPermissionsForApiKey(key))?.ToList();
        if (permissions == null)
        {
            context.Response.StatusCode = (int)HttpStatusCode.Unauthorized;
            await context.Response.WriteAsync("Invalid Api Key");
            return;
        }

        ICollection<Claim> claims = permissions.Select(x => new Claim(FooClaimTypes.Permission, x)).ToList();
        var identity = new ClaimsIdentity(claims);
        var principal = new ClaimsPrincipal(identity);
        context.User = principal;
        await next.Invoke(context);
    }
}

UsersController.cs

[Authorize(AuthorizationPolicies.EditUsersPolicy)]
    public async Task<IActionResult> Put([FromBody] UserUpdateDto userUpdateDto)
    {
        ...
    }

Поставьте точку останова в функции ValidateApiKey и проверьте, создаете ли вы участника с правильными утверждениями, чтобы удовлетворить вашу политику.

— 13.03.2019 23:24

Да, у принципала есть право требования по конкретному полису. Если бы это было не так, я бы ожидал, что он выдаст 403. Но isAuthenticated() на принципале возвращает false, что, я думаю, приводит к 401.

— 14.03.2019 07:03

c# asp.net-core jwt asp.net-identity identityserver4

13.03.2019 22:54

Стоит ли изучать PHP в 2026-2027 годах?

Привет всем, сегодня я хочу высказать свои соображения по поводу вопроса, который я уже много раз получал в своем сообществе: "Стоит ли изучать PHP в...

Поведение ключевого слова "this" в стрелочной функции в сравнении с нормальной функцией

В JavaScript одним из самых запутанных понятий является поведение ключевого слова "this" в стрелочной и обычной функциях.

Приемы CSS-макетирования - floats и Flexbox

Здравствуйте, друзья-студенты! Готовы совершенствовать свои навыки веб-дизайна? Сегодня в нашем путешествии мы рассмотрим приемы CSS-верстки - в...

Тестирование функциональных ngrx-эффектов в Angular 16 с помощью Jest

В системе управления состояниями ngrx, совместимой с Angular 16, появились функциональные эффекты. Это здорово и делает код определенно легче для...

Концепция локализации и ее применение в приложениях React ⚡️

Локализация - это процесс адаптации приложения к различным языкам и культурным требованиям. Это позволяет пользователям получить опыт, соответствующий...

Пользовательский скаляр GraphQL

Листовые узлы системы типов GraphQL называются скалярами. Достигнув скалярного типа, невозможно спуститься дальше по иерархии типов. Скалярный тип...

2 861

Перейти к ответу Данный вопрос помечен как решенный

Ответы 1

Ответ принят как подходящий

По-видимому, мне пришлось установить AuthenticationType как Обычай на ClaimsIdentity, как объяснено здесь.

var identity = new ClaimsIdentity(claims, "Custom");

14.03.2019 10:54

Другие вопросы по теме

Почему CORS блокирует угловые запросы в .NetCore

.NET Core HttpClient — избежать автоматического перенаправления?

Automapper v8 не игнорирует свойства навигации класса EF (Entity Framework)

Фильтрация с помощью веб-API

Аутентификация Windows AspNet Core 2.2 — браузер продолжает запрашивать имя пользователя и пароль

Создать угловой и обновить браузер при сохранении файлов в Visual Studio 2017?

Как я могу открыть проект .NET core 2.0 mvc, несмотря на то, что у меня есть .NET core 2.2?

Произошло необработанное исключение при обработке запроса на _Partial Page

Как я могу настроить свое веб-приложение ASP.NET Core на «всегда работающее» в локальной разработке?

Elasticsearch NEST Повторное использование ElasticClient для другого запроса индекса

Пользовательская аутентификация .Net Core с использованием ключей API с Identity Server 4

Ответы 1

Другие вопросы по теме

Похожие вопросы