Autorisation pour le porteur JWT dans Swashbuckle .NET Core 2

Question

J'utilise des jetons générés par un service d'authentification pour mon application. Pas de problèmes là-bas. Maintenant, j'ai introduit Swashbuckle pour documenter mon API et je peux m'authentifier comme suit en envoyant le JWT avec chaque demande utilisant ce code;

services.AddSwaggerGen(c => { var a = new ApiKeyScheme(); //c.AddSecurityDefinition("Bearer", new ApiKeyScheme() //{ In = "header", Description = "Please insert JWT with Bearer into field", Name = "Authorization", Type = "apiKey" }); c.OperationFilter<AuthorizationHeaderParameterOperationFilter>(); c.SwaggerDoc("v2", new Info { Version = "v2", Title = "MyTitle", Description = "An interface for ...", TermsOfService = "None", Contact = new Contact() { Name = "MyApp", Email = "a@example.com", Url = "www.example.com" } }); // Set the comments path for the Swagger JSON and UI. var basePath = AppContext.BaseDirectory; var xmlPath = Path.Combine(basePath, "cpDataCore.xml"); c.IncludeXmlComments(xmlPath); }); public class AuthorizationHeaderParameterOperationFilter : IOperationFilter { public void Apply(Operation operation, OperationFilterContext context) { var filterPipeline = context.ApiDescription.ActionDescriptor.FilterDescriptors; var isAuthorized = filterPipeline.Select(filterInfo => filterInfo.Filter).Any(filter => filter is AuthorizeFilter); var allowAnonymous = filterPipeline.Select(filterInfo => filterInfo.Filter).Any(filter => filter is IAllowAnonymousFilter); if (isAuthorized && !allowAnonymous) { if (operation.Parameters == null) operation.Parameters = new List<IParameter>(); operation.Parameters.Add(new NonBodyParameter { Name = "Authorization", In = "header", Description = "access token", Required = true, Type = "string" }); } } }

Ce qui me donne l'en-tête suivant - comme prévu

accept:application/json Accept-Encoding:gzip, deflate, br Accept-Language:en-AU,en;q=0.9 Authorization:Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.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.nBEZgzcmZVGhFJmKI8u7p7g7xPU13HEAGJu_lrWylnc Connection:keep-alive Cookie:username=demo; jwt=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJodHRwOi8vc2NoZW1hcy54bWxzb2FwLm9yZy93cy8yMDA1LzA1L2lkZW50aXR5L2NsYWltcy9naXZlbm5hbWUiOiJUcm95IiwiaHR0cDovL3NjaGVtYXMueG1sc29hcC5vcmcvd3MvMjAwNS8wNS9pZGVudGl0eS9jbGFpbXMvc3VybmFtZSI6IkVsZGVyIiwiaHR0cDovL3NjaGVtYXMueG1sc29hcC5vcmcvd3MvMjAwNS8wNS9pZGVudGl0eS9jbGFpbXMvbmFtZSI6InRyb3kiLCJodHRwOi8vc2NoZW1hcy54bWxzb2FwLm9yZy93cy8yMDA1LzA1L2lkZW50aXR5L2NsYWltcy9zaWQiOiI1IiwiUmVmcmVzaFRva2VuIjoiMTNhNzRmNDQtNmVmOC00MDQ3LTlmYWYtOWQ3MzI4MmNhZjQ4IiwiUHJvamVjdElEIjoiLTEiLCJuYmYiOjE1MDUwOTc3MjEsImV4cCI6MTUwNTA5ODYyMSwiaXNzIjoiaHR0cDovL2xvY2FsaG9zdDo2MDAwMC8iLCJhdWQiOiJodHRwOi8vbG9jYWxob3N0OjYwMDAwLyJ9.8You0XiUlvdHb2TRuDzaiXv6r74v7ga1Av_Z3ikmblU Host:localhost:60000 Referer:http://localhost:60000/swagger/ User-Agent:Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/64.0.3282.167 Safari/537.36

Bien que je ne sache pas d’où vient le cookie. Cela n'a rien à voir avec mon code. Je l'ignore simplement - jusqu'ici tout va bien.

Le problème est que cela signifie que le jeton doit être saisi à chaque demande, ce qui est pénible. Idéalement, j'aimerais authentifier à l'aide de l'interface intégrée swagger - selon plusieurs articles, je devrais pouvoir le faire;

c.AddSecurityDefinition("Bearer", new ApiKeyScheme() { In = "header", Description = "Please insert JWT with Bearer into field", Name = "Authorization", Type = "apiKey" });

Cela fonctionne bien et je peux ajouter le jeton. Il me semble qu’il manque une étape pour ajouter le jeton à l’en-tête de chaque demande. Si j'ajoute simplement l'auth, cela me donne l'en-tête suivant, qui échoue bien sûr à l'authentification.

GET /api/ApprovalItemTypes HTTP/1.1 Host: localhost:60000 Connection: keep-alive accept: application/json User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/64.0.3282.167 Safari/537.36 Referer: http://localhost:60000/swagger/ Accept-Encoding: gzip, deflate, br Accept-Language: en-AU,en;q=0.9 Cookie: username=demo; jwt=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJodHRwOi8vc2NoZW1hcy54bWxzb2FwLm9yZy93cy8yMDA1LzA1L2lkZW5_xxx__LTEiLCJuYmYiOjE1MDUwOTc3MjEsImV4cCI6MTUwNTA5ODYyMSwiaXNzIjoiaHR0cDovL2xvY2FsaG9zdDo2MDAwMC8iLCJhdWQiOiJodHRwOi8vbG9jYWxob3N0OjYwMDAwLyJ9.8You0XiUlvdHb2TRuDzaiXv6r74v7ga1Av_Z3ikmblU

Que dois-je faire d'autre pour que la demande inclue le jeton pour chaque demande ultérieure?

Agash Thamo. · Answer

Swagger ajouterait l'en-tête authorzation si vous avez spécifié le filtre sur vos méthodes. Si vous avez besoin d'une autorisation globale, je suppose que swagger ne les reconnaît pas.

Vous devez ajouter un SecurityRequirement comme ceci dans votre ConfigureServices:

c.AddSecurityRequirement(new Dictionary<string, IEnumerable<string>>() { { "Bearer", new string[]{ } } });

Cela nécessitera que l'en-tête soit envoyé avec every request si le jeton est défini. Si vous n'avez pas défini l'en-tête avant qu'il ne l'envoie, mais vous aurez toujours le signe du cadenas à côté de la description de votre API.

Artur Mustafin · Answer

Si vous définissez dans le code

c.AddSecurityDefinition("jwt", new ApiKeyScheme() { In = "header", Description = "Please insert JWT with Bearer into field", Name = "Authorization", Type = "apiKey" });

puis utilisez-le non pas dans .Parameters, mais dans .Security

operation.Security = new List<IDictionary<string, IEnumerable<string>>> { new Dictionary<string, IEnumerable<string>> { {"jwt", _scopes } }

alors tout devrait fonctionner:

Je fais la même chose que vous, mais vous devriez ajouter ce qui suit (pour l'authentification de jeton porteur oauth2 ou jwt):

 public static class ServiceCollectionExtension { private static string XmlCommentsFilePath { get { var basePath = PlatformServices.Default.Application.ApplicationBasePath; var fileName = Assembly.GetEntryAssembly().GetName().Name + ".xml"; return Path.Combine(basePath, fileName); } } public static void AddMySwagger( this IServiceCollection services, ApiVersion defaultApiVersion, Func<ApiVersionDescription, Info> info, string authority = null, Dictionary<string, string> scopes = null) { services.AddMvcCore().AddVersionedApiExplorer(o => o.GroupNameFormat = "'v'VVV"); services.AddApiVersioning(o => { o.ReportApiVersions = true; o.AssumeDefaultVersionWhenUnspecified = true; o.DefaultApiVersion = defaultApiVersion; }); services.AddSwaggerGen( options => { var provider = services.BuildServiceProvider() .GetRequiredService<IApiVersionDescriptionProvider>(); foreach (var description in provider.ApiVersionDescriptions) { if (!description.IsDeprecated) options.SwaggerDoc(description.GroupName, info(description)); } options.OperationFilter<DefaultValues>(); options.IncludeXmlComments(XmlCommentsFilePath); if (!string.IsNullOrEmpty(authority)) { options.AddSecurityDefinition("jwt", new ApiKeyScheme() { Description = "JWT Authorization header using the Bearer scheme. Example: \"Bearer {token}\"", Name = "Authorization", In = "header", Type = "apiKey" }); //options.AddSecurityDefinition("oauth2", new OAuth2Scheme //{ // Flow = "implicit", // AuthorizationUrl = $"{authority}/connect/authorize", // Scopes = scopes ?? new Dictionary<string, string>() //}); options.OperationFilter<AuthorizeCheckOperationFilter>(scopes?.Select(_ => _.Key).ToList() ?? new List<string>()); } }); } class AuthorizeCheckOperationFilter : IOperationFilter { private readonly IEnumerable<string> _scopes; public AuthorizeCheckOperationFilter(IEnumerable<string> scopes) { _scopes = scopes; } public void Apply(Operation operation, OperationFilterContext context) { var hasAuthorize = context.ApiDescription.ControllerAttributes().OfType<AuthorizeAttribute>().Any() || context.ApiDescription.ActionAttributes().OfType<AuthorizeAttribute>().Any(); if (hasAuthorize) { operation.Responses.Add("401", new Response { Description = "Unauthorized" }); operation.Responses.Add("403", new Response { Description = "Forbidden" }); operation.Security = new List<IDictionary<string, IEnumerable<string>>> { new Dictionary<string, IEnumerable<string>> { //{"oauth2", _scopes}, {"jwt", _scopes } } }; } } } }

Usage:

 services.AddMySwagger( new ApiVersion(1, 0), __description => new Info { Title = $"API v{__description.ApiVersion}", Version = __description.ApiVersion.ToString() }, Configuration.GetValue<string>("Authentication:Authority"), new Dictionary<string, string> { { Configuration.GetValue<string>("Authentication:Scope"), "Partnership API" } } );