如何保护 ASP.NET Core Web API 端点只允许来自 React 应用程序的请求？

Question

我在一个 Web 应用程序中创建了一个 ASP.NET Core Web API 和 React 并部署到生产环境中。

终点是：

www.myserver.com/obs 是前端应用。

www.myserver.com/obs/api/GetValue 是网络 API。

您如何保护 Web API 端点，以便只有来自 React 应用程序的请求才能调用 API？

例如，如果我要在远程机器上对 www.myserver.com/obs/api/GetValue 进行 Postman 调用，它不应该返回资源。

一种方法是使用 API 密钥，但是您会将 API 密钥放在反应端的什么位置？我读到您可以将它放在 .env 文件中，但是在生产中您仍然可以使用 dev-tools 找到该文件。

我读到的另一个选项是创建一个代理 API，react 应用程序调用并且代理具有 API 密钥，但这似乎有点矫枉过正，有没有我错过的更简单的方法？

Answer 1

你不能。你的 react 应用程序可以被浏览器读取，因此任何知道如何使用浏览器开发者工具或在他们的计算机上拦截 HTTP(s) 请求的人都可以读取。 如果您的 React 应用程序可以与您的 API 通信，那么其他任何人都可以。代理也是如此。你可以找到更详细的答案here。

如果您想控制访问权限，您可以引入身份验证，并且只向受信任的用户授予访问权限，但如果他们真的想要，您仍然无法阻止他们在您的 react 应用程序之外访问您的 API。

您可以采取一些步骤来增加难度。我建议您阅读有关创建安全 API 的内容。一些帮助您入门的链接：

• https://security.stackexchange.com/questions/58104/secure-a-publicly-accessible-rest-api
• https://developer.okta.com/blog/2019/09/04/securing-rest-apis
• https://restfulapi.net/security-essentials/

Answer 2

一种方法是使用 API 密钥，但是您会将 API 密钥放在哪里 在反应方面？

是的，您可以创建 API 密钥中间件并使用它来验证请求。如果请求来自 react 应用程序，您可以在请求标头中添加 API 密钥。像这样的代码：

使用 fetch 方法：

        fetch('/api/MoviesAPI', {
            method: 'Get', // or 'Post'
            headers: {
                'Content-Type': 'application/json',
                'ApiKey':'Test-value',
            }, 
            })
            .then(response => response.json())
            .then(data => {
                console.log('Success:', data);
            })
            .catch((error) => {
                console.log('Error:', error);
            });

使用Ajax方法：

        $.ajax({
            type: "Get",
            url: "/api/MoviesAPI",  //remember change the controller to your owns. 
            contentType: 'application/json',
            beforeSend: function (xhr) { xhr.setRequestHeader('ApiKey', 'test-value'); },
            success: function (data) {
                console.log(data)
            },
            failure: function (response) {
                console.log(response.responseText);
            },
            error: function (response) {
                console.log(response.responseText);
            }
        });

更多关于reactjs中自定义header发送请求的详细信息，你可以用谷歌或者Bing搜索“reactjs call api with custom headers”，相关文章很多。

另外，关于创建 API 密钥中间件，您可以参考以下步骤：

1. 在API应用中创建一个ApiKeyMiddleware.cs类，添加如下代码：

    public class ApiKeyMiddleware
    {
        public ApiKeyMiddleware(RequestDelegate next, IConfiguration configuration)
        {
            _next = next;
            _configuration = configuration;
        }
        private readonly RequestDelegate _next;
        private readonly IConfiguration _configuration;
        public async Task Invoke(HttpContext context)
        {
            if (context.Request.Path.StartsWithSegments(new PathString("/api")))
            {
                //Let's check if this is an API Call
                if (context.Request.Headers.Keys.Contains("ApiKey", StringComparer.InvariantCultureIgnoreCase))
                {
                    // validate the supplied API key
                    // Validate it
                    var headerKey = context.Request.Headers["ApiKey"].FirstOrDefault();
                    await ValidateApiKey(context, _next, headerKey);
                }
                else
                {
                    await _next.Invoke(context);
                }
            }
            else
            {
                await _next.Invoke(context);
            }
        }
        private async Task ValidateApiKey(HttpContext context, RequestDelegate next, string key)
        {
            // validate it here
            var valid = false;
   
            var Apikey = _configuration["ApiKey"];
            if (key != null && key==Apikey)
            {
                valid = true;
            }
   
            if (!valid)
            {
                context.Response.StatusCode = (int)HttpStatusCode.Unauthorized;
                await context.Response.WriteAsync("Invalid API Key");
            }
            else
            {
                var identity = new GenericIdentity("API");
                var principal = new GenericPrincipal(identity, new[] { "Admin", "ApiUser" });
                context.User = principal;
                await next.Invoke(context);
            }
        }
    }
   

2. 在 Startup.cs 文件的 Configure 方法中注册此中间件。

        app.UseMiddleware<ApiKeyMiddleware>(); //add APIkeyMiddleware
        app.UseHttpsRedirection();
        app.UseStaticFiles();
   
        app.UseRouting();
   
        app.UseAuthentication(); //Call the UseAuthentication
        app.UseAuthorization();
   

3. 在API控制器或动作方法中，添加Authorize属性。

    [HttpGet]
    [Authorize]
    public async Task<ActionResult> GetMovie()
    {
        return Ok(await _context.Movie.ToListAsync());
    }
   

那么，如果请求头中不包含ApiKey或者key值无效，则不会返回资源。

编辑：

关于 API 密钥值，您可以将它们存储在 appsettings.json 文件或内存中的 .NET 对象中。使用时可以从配置中获取。

例如：存放在appsettings.json文件中：

{
   ...  
   "Apikey": "my Test API key"  
}

然后，使用以下代码获取键值

  public ApiKeyMiddleware(RequestDelegate next, IConfiguration configuration)
    {
        _next = next;
        _configuration = configuration;
    }
    private readonly RequestDelegate _next;
    private readonly IConfiguration _configuration;

    private async Task ValidateApiKey(HttpContext context, RequestDelegate next, string key)
    {
        // validate it here
        var valid = false;
        //get the key value from configuration.
        var Apikey = _configuration["ApiKey"]; 
        ...

在反应方面，您可以创建一个服务来获取此键值，然后使用 api 键发送请求。