在 dotnet core mvc 项目中限制对 web api 2 控制器的访问

Question

限制对 MVC 项目中 webapi 2 控制器的访问仅限于托管的应用服务的最佳方法是什么？

我创建了一个我的 MVC 客户端正在访问的端点。整个应用程序通过应用服务发布到 Azure。我现在如何保护端点不被应用程序上下文之外的调用？

Answer 1

根据您的 cmets，您应该考虑重构您的解决方案。

• 考虑将您的 Web API 移至独立项目。通过这种方式，您的 API 与 MVC 应用程序分离，您可以根据需要独立部署和扩展它。
• 将 MVC 客户端应用程序移到它自己的独立项目中
• 对于身份验证，我会考虑实现一个授权服务器（同样在一个独立项目中），它向客户端（在您的情况下为 MVC 应用程序）颁发令牌，然后客户端将使用此令牌访问 API。要实现身份验证服务器，您有几个选项
  • 使用ClientCredentials grant 使用IdentityServer4
  • 使用 OWIN OAuth 中间件通过 ClientCredentials 授权实现您的身份验证服务器
  • 您也可以使用其他 Oauth 实现。

拥有一个专用的授权服务器清楚地分离了身份责任，允许您控制对其他未来客户端的访问，并可能限制对某些端点（也称为范围）的访问。

Answer 2

您可以在请求的标头中使用 API 密钥来过滤掉不需要的请求。 1.实现一个客户授权属性（AuthorizationFilter）类。

    [HttpPost, AuthorizationFilter]
    public CustomerInfo GetCustomerInfo(CustomerInfoRequest request)
    {
        return Business.GetCustomerInfo(request);
    }

2。在你的控制器类中

    public override void OnAuthorization(HttpActionContext ctx)
    {            
        if (!VerifyHeaders(ctx))
        {
            ctx.Response = new HttpResponseMessage(HttpStatusCode.Unauthorized);
            return;
        }

        base.OnAuthorization(ctx);
    }

    private bool VerifyHeaders(HttpActionContext ctx)
    {
        IEnumerable<string> values = new List<string>();

        //Read the API key from the request header
        ctx.Request.Headers.TryGetValues("ApiKey", out values);
        var apiKey = values?.FirstOrDefault();        

        return CheckApiKey(apiKey);
    }

    private bool CheckApiKey(string apiKey)
    {
        //Verification is done here
        return true;
    }

1. 请求应包含 API 密钥，该密钥将通过“OnAuthorization”方法进行验证。