那些遇到过的问题

小编Chr*_*son的帖子

MVC POST请求丢失授权标头 - 如何在检索后使用API​​承载标记

我花了最后一周为现有的MVC应用程序创建API,现在我正在尝试保护API以及根据需要重新修改MVC端安全性.

目前,MVC应用程序设置为通过OWIN/OAuth/Identity使用应用程序cookie.我试图合并设置Web API的Bearer令牌,以便在调用受限API方法时生成,但到目前为止收效甚微 - GET请求工作正常,但POST请求在收到时失去了Authorization标头. API.

我已经创建了一个SDK客户端,MVC应用程序正在使用它来调用API,并尝试了三种为API的任何给定调用设置Authorization标头的方法,所有这些方法似乎都能正常工作对于GET请求很好,但是对于我需要做的任何POST请求完全失败...

我可以在MVC控制器中设置Request标头:

HttpContext.Request.Headers.Add("授权","承载"+ response.AccessToken);

(其中response.AccessToken是先前从API检索的令牌)
我可以通过SDK客户端上的扩展方法设置Request头:

_apiclient.SetBearerAuthentication(token.AccessToken)

或者我可以在SDK客户端上手动设置Request标头:

_apiClient.Authentication = new AuthenticationHeaderValue("Bearer,accessToken);

(其中accessToken是先前检索的令牌,传递给被调用的Client方法).

从这一点来看,我几乎没有什么可以解决导致这个问题的原因.到目前为止,我唯一能够收集的是ASP.NET导致所有POST请求首先发送请求,并带有Expect标头,用于HTTP 100-Continue响应,之后它将完成实际的POST请求.但是,似乎当它执行第二次请求时,Authorization标头不再存在,因此API的Authorize属性将导致401-Unauthorized响应,而不是实际运行API方法.

那么,我如何获取能够从API检索的Bearer令牌,并在后续请求中使用它,包括我需要做的各种POST请求?

除此之外,将此令牌存储在MVC应用程序本身的最佳方法是什么?我宁愿避免将字符串传递给应用程序中可能需要它的每个方法,但我也一直在阅读,出于安全原因将其存储在cookie中是一个非常糟糕的主意.

在我通过这个问题后,我会立即感兴趣的几点:

使用OAuth Bearer Tokens是否意味着我不能再将ApplicationCookies用于MVC应用程序?和/或它会在整个应用程序中使以下代码无用吗?

User.Identity.GetUserId()

目前我被迫评论我的API [授权]属性以继续我的工作,这显然不是理想的但它确实允许我暂时继续处理.

启动文件:

MVC:

public class Startup
{
    public void Configuration(IAppBuilder app)
    {
        ConfigureAuth(app);
    }

    private void ConfigureAuth(IAppBuilder app)
    {
        app.CreatePerOwinContext(ADUIdentityDbContext.Create);
        app.CreatePerOwinContext<ADUUserManager>(ADUUserManager.Create);

        app.UseOAuthBearerTokens(new OAuthAuthorizationServerOptions
                                 {
                                     AccessTokenExpireTimeSpan = TimeSpan.FromDays(1),
                                     //This should be set to FALSE before we move to production.
                                     AllowInsecureHttp =  true,
                                     ApplicationCanDisplayErrors = true,
                                     TokenEndpointPath = new PathString("/api/token"),

                                 }); …
Run Code Online (Sandbox Code Playgroud)

post asp.net-authorization oauth-2.0 asp.net-mvc-5 asp.net-web-api2

Chr*_*son
lucky-day
7
推荐指数
1
解决办法
3293
查看次数

Net6的WebapplicationBuilder上的UseDefaultServiceProvider在哪里

我有一个单元测试,它使用以下内容来完全验证所有依赖项注入配置:

public class StartupTests
{
    public void ConfigurationIsValid()
    {
        var host = Program.CreateHostBuilder(Array.Empty<string>())
            .UseDefaultServiceProvider(
                (_, options) =>
                {
                    options.ValidateOnBuild = true;
                    options.ValidateScopes = true;
                });
                
        var action = () => host.Build();
        
        action.Should().NotThrow();
    }
}
Run Code Online (Sandbox Code Playgroud)

当使用 .NET 5IHostBuilder时,这很有效Host.CreateDefaultBuilder(),但我试图找到该方法在 .NET 6 中引入的UseDefaultServiceProvider()新方法中的位置。WebApplicationBuilder

c# asp.net-core .net-5 .net-6.0

Chr*_*son
2022 10-03
2
推荐指数
1
解决办法
1478
查看次数

标签 统计

.net-5 ×1

.net-6.0 ×1

asp.net-authorization ×1

asp.net-core ×1

asp.net-mvc-5 ×1

asp.net-web-api2 ×1

c# ×1

oauth-2.0 ×1

post ×1