SwashBuckle/Swagger - OAuth 资源所有者密码流程
SwashBuckle/Swagger - OAuth Resource Owner Password Flow
我正在尝试在我的 Asp.Net Web API 中实施 swagger,但我 运行 遇到了问题。
我正在使用密码资源所有者流程,我必须添加一个解决方法才能做到这一点,这在以下堆栈溢出问题中有所介绍:-
我的一切正常,Bearer 令牌是通过 javascript 添加到当前浏览器 window 中的请求 header,但是 api 调用需要授权的控制器方法仍然是 return“401 - 授权失败”。
这是获取不记名令牌并添加 header 的 JavaScript :-
$('#input_apiKey').change(function () {
var key = $('#input_apiKey')[0].value;
var credentials = key.split(':'); //username:password expected
$.ajax({
url: "http://localhost:42291/token",
type: "post",
contenttype: 'x-www-form-urlencoded',
data: "grant_type=password&username=" + credentials[0] + "&password=" + credentials[1],
success: function (response) {
var bearerToken = 'Bearer ' + response.access_token;
window.swaggerUi.api.clientAuthorizations.add('Authorization', new window.SwaggerClient.ApiKeyAuthorization('Authorization', bearerToken, 'header'));
window.swaggerUi.api.clientAuthorizations.remove('api_key');
alert("Login Succesfull!");
},
error: function (xhr, ajaxoptions, thrownerror) {
alert("Login failed!");
}
});
});
Swagger 响应中的 Curl 是:-
curl -X GET --header "Accept: application/json" --header
"Authorization: Bearer
NqlSG-WyTx2zkYE8xFklGyZWlQDZdsCKZBHruEXvX47N7PAzw4-jZ4eH5D0yFzQTXj13RwKFFt1rUZt2fzWj1vR5UR87wdlKC3YvsTojYV4-3DsWwY7qYRfiKPuM0j09c3X5lnrtlBVJ1rBRUH0TLjfw_yGxgoLBwOJl9xyC1YWNoPOe2nzL4lMOHodAnMem0IBMJmUo3Rt575tnWAbBsQXWhlImDIxCZXvkZdJtlXfIfBSUdY9gfRWL0ZjKbf7m2-yLzH0gpMAMuKaADmJlIudJc0d4SP1Nn2Kh2HuVH8CX4QgZuu4egl9N6rY2smorP2vBSC4_dC4CpmYYzOTu2wUnUhHDY2Q6NWl377ijDKwZLcW9jtD-2tBiEGmFuRV0mVGnh0zc4w9Ao9jPCdtrbSyGitgloBW-UG2bfyao3eE"
"http://localhost:42291/api/v1/claims"
我完全看不出有什么问题。
然后我使用 Postman 调用完全相同的 URL 调用,使用在 javascript 调用中生成的相同访问令牌...
你猜怎么着……它工作正常。
编辑
我已经尝试从控制器中删除授权属性,这样我就可以在请求到达控制器方法时检查它。
查看请求 headers,授权 属性 为空。
不知道这是为什么。 CURL 建议将其放入请求中。
编辑 2
我包含了我的安全定义:-
"securityDefinitions": {
"oauth2": {
"type": "oauth2",
"description": "OAuth2 Password Grant",
"flow": "password",
"tokenUrl": "http://localhost:42291/token",
"scopes": {}
}
}
编辑 3
当通过 cURL 直接在命令行公开时,在 Swagger UI 中显示的 cURL 对于此 api 调用没有问题。
现在我完全糊涂了。
授权机制期望每个操作都有一个分配给它的security。如果不存在,则不会发送 header。如果您认为分配正确,请分享您的规范文件
我已经成功解决了这个问题。这是一个简单的类型不匹配,让我伤心了好几天。
在 onComplete.JS 中,我需要创建一个与 swagger 规范中提供的密钥相匹配的密钥。
如果您检查我上面的代码片段,您会发现我创建了一个密钥并将其命名为 "Authorization"。但这与命名的安全定义不匹配 "oauth2".
工作代码:-
$('#input_apiKey').change(function () {
var key = $('#input_apiKey')[0].value;
var credentials = key.split(':');
$.ajax({
url: "http://localhost:42291/token",
type: "post",
contenttype: 'x-www-form-urlencoded',
data: "grant_type=password&username=" + credentials[0] + "&password=" + credentials[1],
success: function (response) {
var bearerToken = "Bearer " + response.access_token;
window.swaggerUi.api.clientAuthorizations.remove('api_key');
var apiKeyAuth = new SwaggerClient.ApiKeyAuthorization("Authorization", bearerToken, "header");
window.swaggerUi.api.clientAuthorizations.add('oauth2', apiKeyAuth);
alert("Login Succesfull!");
},
error: function (xhr, ajaxoptions, thrownerror) {
alert("Login failed!");
}
});
});
为了进一步解释这一点,您需要创建 IOperationFilter 的实现,以便 swagger 可以确定 api 的哪些方法需要授权。正确配置后,您应该在 swagger 规范中看到针对每个 api 调用的安全定义:-
我对 IOperationFilter 的实现:-
public class AssignOAuth2SecurityRequirements : IOperationFilter
{
/// <summary>
/// Apply Security Measures.
/// </summary>
/// <param name="operation"></param>
/// <param name="schemaRegistry"></param>
/// <param name="apiDescription"></param>
/// <exception cref="NotImplementedException"></exception>
public void Apply(Operation operation, SchemaRegistry schemaRegistry, ApiDescription apiDescription)
{
// Determine if the operation has the Authorize attribute
var authorizeAttributes = apiDescription.ActionDescriptor.GetCustomAttributes<AuthorizeAttribute>();
if (!authorizeAttributes.Any())
return;
// Initialize the operation.security property
if (operation.security == null)
operation.security = new List<IDictionary<string, IEnumerable<string>>>();
// Add the appropriate security definition to the operation
var oAuthRequirements = new Dictionary<string, IEnumerable<string>>
{
{ "oauth2", Enumerable.Empty<string>() }
};
operation.security.Add(oAuthRequirements);
}
}
我正在尝试在我的 Asp.Net Web API 中实施 swagger,但我 运行 遇到了问题。
我正在使用密码资源所有者流程,我必须添加一个解决方法才能做到这一点,这在以下堆栈溢出问题中有所介绍:-
我的一切正常,Bearer 令牌是通过 javascript 添加到当前浏览器 window 中的请求 header,但是 api 调用需要授权的控制器方法仍然是 return“401 - 授权失败”。
这是获取不记名令牌并添加 header 的 JavaScript :-
$('#input_apiKey').change(function () {
var key = $('#input_apiKey')[0].value;
var credentials = key.split(':'); //username:password expected
$.ajax({
url: "http://localhost:42291/token",
type: "post",
contenttype: 'x-www-form-urlencoded',
data: "grant_type=password&username=" + credentials[0] + "&password=" + credentials[1],
success: function (response) {
var bearerToken = 'Bearer ' + response.access_token;
window.swaggerUi.api.clientAuthorizations.add('Authorization', new window.SwaggerClient.ApiKeyAuthorization('Authorization', bearerToken, 'header'));
window.swaggerUi.api.clientAuthorizations.remove('api_key');
alert("Login Succesfull!");
},
error: function (xhr, ajaxoptions, thrownerror) {
alert("Login failed!");
}
});
});
Swagger 响应中的 Curl 是:-
curl -X GET --header "Accept: application/json" --header "Authorization: Bearer NqlSG-WyTx2zkYE8xFklGyZWlQDZdsCKZBHruEXvX47N7PAzw4-jZ4eH5D0yFzQTXj13RwKFFt1rUZt2fzWj1vR5UR87wdlKC3YvsTojYV4-3DsWwY7qYRfiKPuM0j09c3X5lnrtlBVJ1rBRUH0TLjfw_yGxgoLBwOJl9xyC1YWNoPOe2nzL4lMOHodAnMem0IBMJmUo3Rt575tnWAbBsQXWhlImDIxCZXvkZdJtlXfIfBSUdY9gfRWL0ZjKbf7m2-yLzH0gpMAMuKaADmJlIudJc0d4SP1Nn2Kh2HuVH8CX4QgZuu4egl9N6rY2smorP2vBSC4_dC4CpmYYzOTu2wUnUhHDY2Q6NWl377ijDKwZLcW9jtD-2tBiEGmFuRV0mVGnh0zc4w9Ao9jPCdtrbSyGitgloBW-UG2bfyao3eE" "http://localhost:42291/api/v1/claims"
我完全看不出有什么问题。
然后我使用 Postman 调用完全相同的 URL 调用,使用在 javascript 调用中生成的相同访问令牌...
你猜怎么着……它工作正常。
编辑
我已经尝试从控制器中删除授权属性,这样我就可以在请求到达控制器方法时检查它。
查看请求 headers,授权 属性 为空。
不知道这是为什么。 CURL 建议将其放入请求中。
编辑 2
我包含了我的安全定义:-
"securityDefinitions": {
"oauth2": {
"type": "oauth2",
"description": "OAuth2 Password Grant",
"flow": "password",
"tokenUrl": "http://localhost:42291/token",
"scopes": {}
}
}
编辑 3 当通过 cURL 直接在命令行公开时,在 Swagger UI 中显示的 cURL 对于此 api 调用没有问题。
现在我完全糊涂了。
授权机制期望每个操作都有一个分配给它的security。如果不存在,则不会发送 header。如果您认为分配正确,请分享您的规范文件
我已经成功解决了这个问题。这是一个简单的类型不匹配,让我伤心了好几天。
在 onComplete.JS 中,我需要创建一个与 swagger 规范中提供的密钥相匹配的密钥。
如果您检查我上面的代码片段,您会发现我创建了一个密钥并将其命名为 "Authorization"。但这与命名的安全定义不匹配 "oauth2".
工作代码:-
$('#input_apiKey').change(function () {
var key = $('#input_apiKey')[0].value;
var credentials = key.split(':');
$.ajax({
url: "http://localhost:42291/token",
type: "post",
contenttype: 'x-www-form-urlencoded',
data: "grant_type=password&username=" + credentials[0] + "&password=" + credentials[1],
success: function (response) {
var bearerToken = "Bearer " + response.access_token;
window.swaggerUi.api.clientAuthorizations.remove('api_key');
var apiKeyAuth = new SwaggerClient.ApiKeyAuthorization("Authorization", bearerToken, "header");
window.swaggerUi.api.clientAuthorizations.add('oauth2', apiKeyAuth);
alert("Login Succesfull!");
},
error: function (xhr, ajaxoptions, thrownerror) {
alert("Login failed!");
}
});
});
为了进一步解释这一点,您需要创建 IOperationFilter 的实现,以便 swagger 可以确定 api 的哪些方法需要授权。正确配置后,您应该在 swagger 规范中看到针对每个 api 调用的安全定义:-
我对 IOperationFilter 的实现:-
public class AssignOAuth2SecurityRequirements : IOperationFilter
{
/// <summary>
/// Apply Security Measures.
/// </summary>
/// <param name="operation"></param>
/// <param name="schemaRegistry"></param>
/// <param name="apiDescription"></param>
/// <exception cref="NotImplementedException"></exception>
public void Apply(Operation operation, SchemaRegistry schemaRegistry, ApiDescription apiDescription)
{
// Determine if the operation has the Authorize attribute
var authorizeAttributes = apiDescription.ActionDescriptor.GetCustomAttributes<AuthorizeAttribute>();
if (!authorizeAttributes.Any())
return;
// Initialize the operation.security property
if (operation.security == null)
operation.security = new List<IDictionary<string, IEnumerable<string>>>();
// Add the appropriate security definition to the operation
var oAuthRequirements = new Dictionary<string, IEnumerable<string>>
{
{ "oauth2", Enumerable.Empty<string>() }
};
operation.security.Add(oAuthRequirements);
}
}