带有 OAS3 的 Swashbuckle Swagger UI 个挂锁
Swashbuckle Swagger UI padlocks with OAS3
我有一个 ASP.Net Core Rest Web API 记录在 Swashbuckles's Swagger generation 中(.net v5 和 Swashbuckle.AspNetCore v5.6.3)。它生成 Swagger 文档和 UI 并支持 OAS3。
我的 API 也使用 JWT 不记名令牌。所以,我将这段代码添加到 swagger 配置中:
options.AddSecurityDefinition("Bearer", new OpenApiSecurityScheme()
{
In = ParameterLocation.Header,
Name = "Authorization",
Type = SecuritySchemeType.ApiKey,
Description = "Put `bearer` keyword in front of token"
});
options.AddSecurityRequirement(new OpenApiSecurityRequirement()
{
{
new OpenApiSecurityScheme()
{
Reference = new OpenApiReference()
{
Id = "Bearer",
Type = ReferenceType.SecurityScheme
}
},
Array.Empty<string>()
}
});
正如预期的那样,它为 Swagger 添加了授权功能 UI:
但我还注意到每个 HTTP 请求旁边都有几个挂锁。
授权前已解锁:
授权后锁定:
我怎样才能让这些挂锁在是否需要授权时发出信号(我想我在某处看到过同样的挂锁这样做,而且他们做这种事情似乎也很自然)?
已经尝试过类似的方法,但没有成功(请求 headers 不再包含 jwt 令牌):
options.OperationFilter<SecurityRequirementsOperationFilter>();
我发现问题是我的 Swagger 使用 OAS3 和 SecurityRequirementsOperationFilter
取决于 OAS2。我试过寻找替代品,但似乎没有适用于 OAS3 的类似工具。
我该怎么办?
我应该忘记这个功能吗?但这看起来像是这些锁的唯一目的。
有什么方法可以拥有此功能并继续使用 OAS3(我也不确定我是否真的需要那么多 OAS3 支持)。
经过一些研究,我在这里找到了答案:。
所以代码是:
options.AddSecurityDefinition("Bearer", new OpenApiSecurityScheme()
{
Description = "No need to put the `bearer` keyword in front of token",
Type = SecuritySchemeType.Http,
Scheme = "bearer",
BearerFormat = "JWT"
});
options.OperationFilter<AuthorizationOperationFilter>();
public class AuthorizationOperationFilter : IOperationFilter
{
public void Apply(OpenApiOperation operation, OperationFilterContext context)
{
var actionMetadata = context.ApiDescription.ActionDescriptor.EndpointMetadata;
var isAuthorized = actionMetadata.Any(metadataItem => metadataItem is AuthorizeAttribute);
var allowAnonymous = actionMetadata.Any(metadataItem => metadataItem is AllowAnonymousAttribute);
if (!isAuthorized || allowAnonymous)
{
return;
}
operation.Parameters ??= new List<OpenApiParameter>();
operation.Security = new List<OpenApiSecurityRequirement>
{
new OpenApiSecurityRequirement
{
{
new OpenApiSecurityScheme
{
Reference = new OpenApiReference
{
Id = "Bearer",
Type = ReferenceType.SecurityScheme
}
},
Array.Empty<string>()
}
}
};
}
}
结果是挂锁仅出现在标有 [Authorize] 而未标有 [AllowAnonymous] 属性的操作旁边:
我有一个 ASP.Net Core Rest Web API 记录在 Swashbuckles's Swagger generation 中(.net v5 和 Swashbuckle.AspNetCore v5.6.3)。它生成 Swagger 文档和 UI 并支持 OAS3。
我的 API 也使用 JWT 不记名令牌。所以,我将这段代码添加到 swagger 配置中:
options.AddSecurityDefinition("Bearer", new OpenApiSecurityScheme()
{
In = ParameterLocation.Header,
Name = "Authorization",
Type = SecuritySchemeType.ApiKey,
Description = "Put `bearer` keyword in front of token"
});
options.AddSecurityRequirement(new OpenApiSecurityRequirement()
{
{
new OpenApiSecurityScheme()
{
Reference = new OpenApiReference()
{
Id = "Bearer",
Type = ReferenceType.SecurityScheme
}
},
Array.Empty<string>()
}
});
正如预期的那样,它为 Swagger 添加了授权功能 UI:
但我还注意到每个 HTTP 请求旁边都有几个挂锁。 授权前已解锁:
授权后锁定:
我怎样才能让这些挂锁在是否需要授权时发出信号(我想我在某处看到过同样的挂锁这样做,而且他们做这种事情似乎也很自然)?
已经尝试过类似的方法,但没有成功(请求 headers 不再包含 jwt 令牌):
options.OperationFilter<SecurityRequirementsOperationFilter>();
我发现问题是我的 Swagger 使用 OAS3 和 SecurityRequirementsOperationFilter
取决于 OAS2。我试过寻找替代品,但似乎没有适用于 OAS3 的类似工具。
我该怎么办? 我应该忘记这个功能吗?但这看起来像是这些锁的唯一目的。 有什么方法可以拥有此功能并继续使用 OAS3(我也不确定我是否真的需要那么多 OAS3 支持)。
经过一些研究,我在这里找到了答案:
所以代码是:
options.AddSecurityDefinition("Bearer", new OpenApiSecurityScheme()
{
Description = "No need to put the `bearer` keyword in front of token",
Type = SecuritySchemeType.Http,
Scheme = "bearer",
BearerFormat = "JWT"
});
options.OperationFilter<AuthorizationOperationFilter>();
public class AuthorizationOperationFilter : IOperationFilter
{
public void Apply(OpenApiOperation operation, OperationFilterContext context)
{
var actionMetadata = context.ApiDescription.ActionDescriptor.EndpointMetadata;
var isAuthorized = actionMetadata.Any(metadataItem => metadataItem is AuthorizeAttribute);
var allowAnonymous = actionMetadata.Any(metadataItem => metadataItem is AllowAnonymousAttribute);
if (!isAuthorized || allowAnonymous)
{
return;
}
operation.Parameters ??= new List<OpenApiParameter>();
operation.Security = new List<OpenApiSecurityRequirement>
{
new OpenApiSecurityRequirement
{
{
new OpenApiSecurityScheme
{
Reference = new OpenApiReference
{
Id = "Bearer",
Type = ReferenceType.SecurityScheme
}
},
Array.Empty<string>()
}
}
};
}
}
结果是挂锁仅出现在标有 [Authorize] 而未标有 [AllowAnonymous] 属性的操作旁边: