仅本地主机端点

Question

假设我有一个可供互联网上任何人访问的 API，但只有一个端点，例如

hxxps://my-domain.com/local 我希望只能从 localhost 访问

除了检查 IP 是否存在之外，创建仅 localhost 的端点是否还有其他可能性

::1 | localhost |127.0.0.1 ?

还是 HTTP Server(nginx) 级别的一些技巧？

Answer 1

有几种可能：

• 用#DEBUG pragma 标记它 - 所以它只会处于调试模式
• 覆盖 ExecuteAsync 并检查功能标志（请参阅 Conditionally disable ASP.NET MVC Controller）
• 在您的应用程序之前在负载均衡器上阻止它（许多 dotnet 核心应用程序是自托管的并通过 localhost 访问。例如 Azure 应用程序服务）
• 使用自定义身份验证
• 使用功能标志（如配置条目或环境变量）并在阻塞的控制器中检查它
• 使用功能标志（如上）和带有此类检查的自定义策略（阅读更多：https://docs.microsoft.com/en-gb/aspnet/core/security/authorization/policies?view=aspnetcore-2.2）

Answer 2

一般来说，不会。但是，无论如何，我认为这不是最好的计划。当你把某件事公开时，你应该假设所有事情都是公开的。如果您不想让任何人访问某些内容，那么 auth 就是您的答案。这也为您的价值带来了更大的灵活性。无论需要在本地与此 API 进行通信，都可能并不总是位于同一台服务器上。如果您使用身份验证，则可以将其移动到任何地方而不会出现问题。否则，无论从长远来看这是否有意义，它都会卡在同一台服务器上。

您的下一个最佳选择是分离功能，并在内部托管仅供内部使用的东西。试图让一个 API 同时服务于内部请求和外部请求只会增加不必要的复杂性。