如何保护.NET Core API中的swagger端点？

Question

我在.net core 2.1中有一个api构建。为了限制对各种端点的访问，我使用IdentityServer4和[Authorize]属性。但是，我在开发过程中的目标是向我们的开发人员公开api swagger文档，以便他们无论在哪里工作都可以使用它。我面临的挑战是如何保护swagger index.html文件，以便只有他们才能看到api的详细信息。

我已经在wwwroot / swagger / ui文件夹中创建了一个自定义index.html文件，并且一切正常，但是，该文件使用了来自/swagger/v1/swagger.json不受保护的端点的数据。我想知道如何覆盖该特定端点的返回值，以便可以向其添加自己的身份验证？

编辑：

目前，我已经通过以下中间件实现了上述目标：

public class SwaggerInterceptor
{
    private readonly RequestDelegate _next;

    public SwaggerInterceptor(RequestDelegate next)
    {
        _next = next;
    }

    public async Task Invoke(HttpContext context)
    {
        var uri = context.Request.Path.ToString();
        if (uri.StartsWith("/swagger/ui/index.html"))
        {
            var param = context.Request.QueryString.Value;

            if (!param.Equals("?key=123"))
            {
                context.Response.StatusCode = 404;
                context.Response.ContentType = "application/json";
                await context.Response.WriteAsync("{\"result:\" \"Not Found\"}", Encoding.UTF8);
                return;
            }
        }

        await _next.Invoke(context);
    }
}

public class Startup 
{
    //omitted code

    public void Configure(IApplicationBuilder app, IHostingEnvironment env)
    {
        app.UseMiddleware<SwaggerInterceptor>();
        //omitted code
    }
}

我不喜欢这种方法，因为它将检查每个单个请求。有没有更好的方法来实现这一目标？上面仅保护index.html文件，但我可以对其进行调整以类似方式保护json端点。

Answer 1

您可以选择一些选项：

• 基本授权
• 使用身份服务器的 OpenId Connect 授权

基本授权

在这种情况下，您只需关闭您的 swagger 端点即可。

// Startup.cs
public class Startup
{
    public void ConfigureServices(IServiceCollection services)
    {
        ...
        services.AddAuthentication()
            .AddScheme<BasicAuthenticationOptions, BasicAuthenticationHandler>("Basic", _ => {});
        ...  
    }

    public void Configure(IApplicationBuilder app, IWebHostEnvironment env)
    {
        ...

        app.UseEndpoints(endpoints =>
        {
            ...
            
            var pipeline = endpoints.CreateApplicationBuilder().Build();
            var basicAuthAttr = new AuthorizeAttribute { AuthenticationSchemes = "Basic" };
            endpoints
                .Map("/swagger/{documentName}/swagger.json", pipeline)
                .RequireAuthorization(basicAuthAttr);
            endpoints
                .Map("/swagger/index.html", pipeline)
                .RequireAuthorization(basicAuthAttr);
        });
    }
}

// BasicAuthenticationHandler.cs
public class BasicAuthenticationHandler : AuthenticationHandler<BasicAuthenticationOptions>
{
    ...
}

使用 IdentityServer4 进行 OIDC 授权

我已经为此案例写了文章：https://medium.com/dev-genius/csharp-protecting-swagger-endpoints-82ae5cfc7eb1

Answer 2

我相信你最好的选择就是你已经做过的事情。构建您自己的中间件，因为我不知道任何用于验证静态文件身份验证的中间件。您可以添加 basePath 以避免在不必要时进入此特定中间件。就像下面的代码一样

app.Map("/swagger", (appBuilder) =>
{
    appBuilder.UseMiddleware<SwaggerInterceptor>();
});

此外，本文还可以帮助您构建一个更通用的中间件来验证静态文件的身份验证。 https://odetocode.com/blogs/scott/archive/2015/10/06/authorization-policies-and-middleware-in-asp-net-5.aspx