当您使用 dotnet 5 创建 WebApi 项目时,项目中会默认集成 swagger。
如下所示。.
正如您在上面图片中看到的那样,开发人员仅在开发环境中很好地添加了swagger。所以你只能在开发模式下看到swagger页面。
但是,如果您想在生产环境中访问 swagger 页面,但同时又希望不是每个人都应该能够看到您的 api 端点,该怎么办呢?
在本教程中,我将阐述如何使用一些身份验证机制来保护生产环境中的 swagger 定义。
在下面的实例中,我将使用基本身份验证,所以让我们开始吧。
使用 Visual Studio 或 VScode 创建 一个webapi 项目。当然这里我使用的是vs2022,
让我们按 F5 运行 webapi,并导航到此 URL https://localhost:5001/swagger/index.html 来查看下swagger页面
现在添加一个名为 SwaggerBasicAuthMiddleware 的类并添加如下代码。
public class SwaggerBasicAuthMiddleware
{
private readonly RequestDelegate next;
public SwaggerBasicAuthMiddleware(RequestDelegate next)
{
this.next = next;
}
public async Task InvokeAsync(HttpContext context)
{
if (context.Request.Path.StartsWithSegments("/swagger"))
{
string authHeader = context.Request.Headers["Authorization"];
if (authHeader != null && authHeader.StartsWith("Basic "))
{
// Get the credentials from request header
var header = AuthenticationHeaderValue.Parse(authHeader);
var inBytes = Convert.FromBase64String(header.Parameter);
var credentials = Encoding.UTF8.GetString(inBytes).Split(':');
var username = credentials[0];
var password = credentials[1];
// validate credentials
if (username.Equals("swagger")
&& password.Equals("swagger"))
{
await next.Invoke(context).ConfigureAwait(false);
return;
}
}
context.Response.Headers["WWW-Authenticate"] = "Basic";
context.Response.StatusCode = (int)HttpStatusCode.Unauthorized;
}
else
{
await next.Invoke(context).ConfigureAwait(false);
}
}
}
为简单起见,我使用的是硬编码凭据验证,但同样可以增强以从数据库中使用它。
像这样创建一个扩展方法。
public static IApplicationBuilder UseSwaggerAuthorized(this IApplicationBuilder builder)
{
return builder.UseMiddleware<SwaggerBasicAuthMiddleware>();
}
从 env.IsDevelopment() 块中删除 swagger 部分并将其放在外面。在 startup.cs 中添加中间件,如下所示。
public void Configure(IApplicationBuilder app, IWebHostEnvironment env)
{
...
app.UseAuthorization();
app.UseSwaggerAuthorized();
app.UseSwagger();
app.UseSwaggerUI(c => c.SwaggerEndpoint("/swagger/v1/swagger.json", "SecureSwagger v1"));
...
}
确保在 UseSwagger() 和 UseSwaggerUI() 调用之前添加了 UseSwaggerAuthorized(),以便在访问 swagger ui 之前调用身份验证中间件。
有了这些代码更改,我们就可以运行我们的应用程序了。
按 F5 运行,您可以看到 swagger 页面正在加载,但浏览器正在询问凭据。
让我先尝试一些无效的凭据。我将分别使用“Test”和“Test”作为用户名和密码。
按下登录按钮后,它将验证凭据并在错误时返回同一页面。
如果按取消,它将显示 401 错误页面。
现在我将尝试使用有效的凭据。
可以看到swagger加载成功。
验证凭据后成功显示 Swagger 页面。
好了,今天的分享结束,下一篇文章中我将分享如何使用数据库来进行验证而不是使用本篇文章种硬编码的方式进行。我们下篇文章见。
