基于.NetCore3.1系列 ——認證授權方案之Swagger加鎖

一、前言

在之前的使用Swagger做Api文檔中，我們已經使用Swagger進行開發接口文檔，以及更加友善的使用。這一轉換，讓更多的接口可以以通俗易懂的方式展現給開發人員。而在後續的内容中，為了對api資源的保護，我們引入了認證授權方案，利用HTTP提供了一套标準的身份驗證架構，服務端可以用來針對用戶端的請求發送質詢(challenge)，用戶端根據質詢提供應答身份驗證憑證，進而實作對資源的保護。

因為之前在使用Swagger的系列中還沒有加身份認證授權這一塊，是以我們使用的接口都是沒有進行資源保護的，而再後續又對認證授權這一塊進行講解又沒有将Swagger好好的利用起來，使得每一次要測試授權認證的時候，都得使用postman在Hearer請求頭中加入Authorization屬性，導緻每測試一個接口就得輸入一次token令牌來實作認證，重複操作頻繁，降低工作效率。

這個時候，我們剛好發現，Swagger已經幫我們是實作了一次輸入令牌，不同接口多次調用，提高效率。這樣，我們就可以将之前的Swagger系列和認證授權系列相結合。

說幹就幹。。。

二、回顧

Swagger系列：

基于.NetCore3.1系列 —— 使用Swagger做Api文檔 (上篇)

基于.NetCore3.1系列 —— 使用Swagger做Api文檔 (下篇)

基于.NetCore3.1系列 —— 使用Swagger導出文檔 (番外篇)

基于.NetCore3.1系列 —— 使用Swagger導出文檔 (補充篇)

JWT認證授權系列：

基于.NetCore3.1系列 —— 認證方案之初步認識JWT

基于.NetCore3.1系列 —— 認證授權方案之JwtBearer認證

基于.NetCore3.1系列 —— 認證授權方案之授權初識

基于.NetCore3.1系列 —— 認證授權方案之授權揭秘 (上篇)

基于.NetCore3.1系列 —— 認證授權方案之授權揭秘 (下篇)

三、開始

3.1. 添加Swagger

這裡我們使用之前Swagger系列中的源碼，可以發現這個在沒有使用配置我們認證授權代碼的情況下，資源api都是處于沒有保護的情況下，任何人都可以調用使用，沒有安全性。

       public void ConfigureServices(IServiceCollection services)
        {
            services.AddSwaggerGen(c =>
            {
                c.SwaggerDoc("V1", new OpenApiInfo
                {
                    Version = "V1",   //版本 
                    Title = $"XUnit.Core 接口文檔-NetCore3.1",  //标題
                    Description = $"XUnit.Core Http API v1",    //描述
                    Contact = new OpenApiContact { Name = "艾三元", Email = "", Url = new Uri("") },  
                    License = new OpenApiLicense { Name = "艾三元許可證", Url = new Uri("") }
                });
                var basePath = Path.GetDirectoryName(typeof(Program).Assembly.Location);//擷取應用程式所在目錄（絕對，不受工作目錄影響，建議采用此方法擷取路徑）
               //var basePath = AppContext.BaseDirectory;
                var xmlPath = Path.Combine(basePath, "XUnit.Core.xml");//這個就是剛剛配置的xml檔案名
                c.IncludeXmlComments(xmlPath);//預設的第二個參數是false,對方法的注釋
                // c.IncludeXmlComments(xmlPath,true); //這個是controller的注釋
            });
            services.AddControllers();
        }      

3.2. 添加認證授權

基于之前的認證授權方案系列，我們這一節的認證授權就使用之前使用的基于自定義政策授權的方式，實作授權。

3.2.1. 定義權限政策

定義一個權限政策PermissionRequirement，這個政策并包含一些屬性。

public class PermissionRequirement: IAuthorizationRequirement
{
    public string _permissionName { get; }

    public PermissionRequirement(string PermissionName)
    {
        _permissionName = PermissionName;
    }
}      

3.2.2. 再定義一個政策處理類

public class PermissionRequirementHandler : AuthorizationHandler{
    protected override Task HandleRequirementAsync(AuthorizationHandlerContext context, PermissionRequirement requirement)
    {
        var role = context.User.FindFirst(c => c.Type == ClaimTypes.Role);
        if (role != null)
        {
            var roleValue = role.Value;
            if (roleValue==requirement._permissionName)
            {
                context.Succeed(requirement);
            }
        }
        return Task.CompletedTask;
    }
}      

3.2.3. 下面展示了如何将自定義要求添加到政策

（請注意，由于這是自定義要求，是以沒有擴充方法，而必須繼續處理政策對象的整個 Requirements 集合）：

    public void ConfigureServices(IServiceCollection services)
    {
        services.AddControllers();
        //基于自定義政策授權
        services.AddAuthorization(options =>
        {
            options.AddPolicy("customizePermisson",
              policy => policy
                .Requirements
                .Add(new PermissionRequirement("admin")));
        });
        //此外，還需要在 IAuthorizationHandler 類型的範圍内向 DI 系統注冊新的處理程式：
        services.AddScoped();
        // 如前所述，要求可包含多個處理程式。如果為授權層的同一要求向 DI 系統注冊多個處理程式，有一個成功就足夠了。

    }      

3.2.4. 應用自定義的政策的特性

指定目前使用者必須是應用對控制器或控制器内的操作，如

   [Authorize(Policy = "customizePermisson")]
    public class MovieController : ControllerBase
    { 
    }      

3.3. 添加Swagger鎖

利用Swagger為我們提供的接口，在AddSwaggerGen服務中，添加保護api資源的描述。

  var openApiSecurity = new OpenApiSecurityScheme
  {
      Description = "JWT認證授權，使用直接在下框中輸入Bearer {token}（注意兩者之間是一個空格）\"",
      Name = "Authorization",  //jwt 預設參數名稱
      In = ParameterLocation.Header,  //jwt預設存放Authorization資訊的位置（請求頭）
      Type = SecuritySchemeType.ApiKey
  };      

添加請求頭的Header中的token,傳遞到背景。

c.OperationFilter();      

開啟權重鎖

c.OperationFilter();
c.OperationFilter();      

代碼整合如下：在ConfigureServices服務中

       services.AddSwaggerGen(c =>
        {
            c.SwaggerDoc("V1", new OpenApiInfo
            {
                Version = "V1",   //版本 
                Title = $"XUnit.Core 接口文檔-NetCore3.1",  //标題
                Description = $"XUnit.Core Http API v1",    //描述
                Contact = new OpenApiContact { Name = "艾三元", Email = "", Url = new Uri("") },  
                License = new OpenApiLicense { Name = "艾三元許可證", Url = new Uri() }
            });
            var basePath = Path.GetDirectoryName(typeof(Program).Assembly.Location);//擷取應用程式所在目錄（絕對，不受工作目錄影響，建議采用此方法擷取路徑）
           //var basePath = AppContext.BaseDirectory;
            var xmlPath = Path.Combine(basePath, "XUnit.Core.xml");//這個就是剛剛配置的xml檔案名
           // c.IncludeXmlComments(xmlPath);//預設的第二個參數是false,對方法的注釋
             c.IncludeXmlComments(xmlPath,true); // 這個是controller的注釋
            
			#region 加鎖
            var openApiSecurity = new OpenApiSecurityScheme
            {
                Description = "JWT認證授權，使用直接在下框中輸入Bearer {token}（注意兩者之間是一個空格）\"",
                Name = "Authorization",  //jwt 預設參數名稱
                In = ParameterLocation.Header,  //jwt預設存放Authorization資訊的位置（請求頭）
                Type = SecuritySchemeType.ApiKey
            };

            c.AddSecurityDefinition("oauth2", openApiSecurity);
            c.OperationFilter();
            c.OperationFilter();
            c.OperationFilter();
            #endregion
        });      

c.AddSecurityDefinition("oauth2", openApiSecurity); 這裡的方案名稱必須是oauth2

四、運作

在未加鎖的情況下，效果如下：

加上鎖的程式後，執行後發現，

五、總結

1. 通過上面的彙總，我們已經實作将Swagger和net core身份認證授權才能通路接口
2. 在以後測試接口授權的時候，就可以直接通過Swagger中的鎖來調試運作，減少重複添加令牌進行操作。
3. 源碼位址