我想构建一个基于ASP.NET Core的WebApi来访问数据库中的数据。此WebApi可以以两种方式使用,既可以作为需要身份验证的公共WebApi,也可以作为Web应用程序的私有后端服务。在后一种情况下,不需要身份验证,因为只有经过身份验证的用户才能访问Web应用程序,并且Web应用程序和WebApi都将在同一台计算机上运行,WebApi将隐藏到外部。
由于我们需要对第一个场景进行身份验证,因此我将使用Authorize属性标记所有公共API。但对于私有场景,我想绕过任何身份验证。
有什么办法可以根据配置中的某些标志使身份验证可选吗?
更新
说到两种使用场景,我的意思是两个完全独立的安装!每个人都有自己的配置文件。是否需要进行身份验证的决定是在单个安装中按照每个请求进行安装!我的目标是在配置中只有一个代码库和一个交换机。
如果绕过身份验证,您如何区分api的内部或公共请求?这会导致安全漏洞。所以你不应该绕过身份验证。
如果您在mvc应用程序中使用openidconnect身份验证,则可以设置SaveTokens=true
。它使您可以在cookie中存储访问令牌。当您在mvc动作中调用api时,您可以将此access_token
发送到api。
使用两个不同的身份验证中间件的另一种方式,一个用于内部另一个用于公共访问(这很难实现)。
我会采用第一种方法。
更新
为了实现你的目标,我想到了一个棘手的方法,但我不确定这是一个好方法:
创建过滤器提供程序:
public class EncFilterProvider : IFilterProvider
{
public int Order
{
get
{
return -1500;
}
}
public void OnProvidersExecuted(FilterProviderContext context)
{
}
public void OnProvidersExecuting(FilterProviderContext context)
{
// remove authorize filters
var authFilters = context.Results.Where(x =>
x.Descriptor.Filter.GetType() == typeof(AuthorizeFilter)).ToList();
foreach(var f in authFilters)
context.Results.Remove(f);
}
}
然后根据配置值有条件地注册它
public void ConfigureServices(IServiceCollection services)
{
if(config["servermode"] = "internal")
{
services.AddScoped<IFilterProvider, EncFilterProvider>();
}
}
我建议对两个应用程序进行身份验证:Web应用程序和Web API。你将拥有一切安全。用于跳过不是一个好主意的身份验证。只需为Web应用程序(在Web API应用程序中)创建一个用户,该用户将在从Web API获取数据时进行身份验证。