Quando si pubblicano API su web, una delle necessità più comuni è quella di evitare che chiunque possa accedervi indiscriminatamente. Un tipico esempio è quello di un servizio di backend, a supporto di una nostra applicazione mobile: in un simile scenario, vogliamo fare in modo che solo quest'ultima possa invocare i metodi esposti.
Esistono diverse tecniche per raggiungere questo risultato, ma la più comune e facilmente realizzabile è quella di aggiungere delle credenziali (per esempio user e password, o una API-Key) all'header della richiesta, così che questa possa essere validata.
Sebbene anche in ASP.NET Web API sia presente l'infrastruttura dei filter tipica di ASP.NET MVC, il sistema più corretto per effettuare questo tipo di controllo è realizzare un message handler, ossia un oggetto che viene inserito nella pipeline di elaborazione della richiesta ed eseguito a ogni chiamata. Si tratta di una classe che eredita da DelegatingHandler e che effettua l'override del metodo SendAsync:
internal class ApiKeyHandler : DelegatingHandler { protected override Task<HttpResponseMessage> SendAsync( HttpRequestMessage request, CancellationToken cancellationToken) { if (!this.ValidateKey(request)) { var response = new HttpResponseMessage(HttpStatusCode.Forbidden); var tsc = new TaskCompletionSource<HttpResponseMessage>(); tsc.SetResult(response); return tsc.Task; } return base.SendAsync(request, cancellationToken); } }
Nell'esempio in alto, a ogni richiesta eseguiamo il metodo ValidateKey, all'interno del quale abbiamo implementato la nostra logica di autorizzazione; se il controllo fallisce, l'elaborazione della pipeline viene interrotta e viene restituito un HTTP Status Code 403, altrimenti proseguiamo con il flusso originale. Un esempio molto banale di ValidateKey può essere il seguente, in cui controlliamo la presenza di un opportuno header nella richiesta.
private const string HEADER_NAME = "MyApiKey"; private bool ValidateKey(HttpRequestMessage message) { if (!message.Headers.Contains(HEADER_NAME)) return false; string key = message.Headers.GetValues(HEADER_NAME).FirstOrDefault(); return (key == "Chiave segretissima"); }
Una volta realizzato l'handler, non dobbiamo fare altro che registrarlo nel runtime di ASP.NET Web API, inserendo questo codice nell'Application_Start del global.asax:
GlobalConfiguration.Configuration .MessageHandlers.Add(new ApiKeyHandler());
Ovviamente si tratta di un sistema di sicurezza che, nella sua accezione più banale, è efficace solo se stiamo usando SSL, e quindi il protocollo HTTPS, altrimenti chiunque può leggere le credenziali usate e replicarle. La soluzione che abbiamo proposto, tuttavia, si presta anche a implementazioni più complesse, come la validazione di una eventuale firma digitale della richiesta.
Commenti
Per inserire un commento, devi avere un account.
Fai il login e torna a questa pagina, oppure registrati alla nostra community.
Approfondimenti
Creazione di plugin per Tailwind CSS: espandere le funzionalità del framework dinamicamente
Visualizzare le change sul plan di Terraform tramite le GitHub Actions
Implementare il throttling in ASP.NET Core
Migrare una service connection a workload identity federation in Azure DevOps
Filtrare e rimuovere gli elementi dalla cache del browser tramite le API JavaScript
Personalizzare l'errore del rate limiting middleware in ASP.NET Core
Paginare i risultati con QuickGrid in Blazor
Semplificare il deployment di siti statici con Azure Static Web App
Utilizzare Model as a Service su Microsoft Azure
Utilizzare le Cache API di JavaScript per salvare elementi nella cache del browser
Configurare policy CORS in Azure Container Apps
Utilizzare la libreria Benchmark.NET per misurare le performance
I più letti di oggi
- Utilizzare WebAssembly con .NET, ovunque
- ecco tutte le novità pubblicate sui nostri siti questa settimana: https://aspit.co/wkly buon week-end!
- Ottimizzare le performance delle collection con le classi FrozenSet e FrozenDictionary
- Utilizzare il trigger SQL con le Azure Function
- Disabilitare automaticamente un workflow di GitHub (parte 2)
- Ottimizzazione dei block template in Angular 17
- Paginare i risultati con QuickGrid in Blazor