Quando si pubblicano API su web, una delle necessità più comuni è quella di evitare che chiunque possa accedervi indiscriminatamente. Un tipico esempio è quello di un servizio di backend, a supporto di una nostra applicazione mobile: in un simile scenario, vogliamo fare in modo che solo quest'ultima possa invocare i metodi esposti.
Esistono diverse tecniche per raggiungere questo risultato, ma la più comune e facilmente realizzabile è quella di aggiungere delle credenziali (per esempio user e password, o una API-Key) all'header della richiesta, così che questa possa essere validata.
Sebbene anche in ASP.NET Web API sia presente l'infrastruttura dei filter tipica di ASP.NET MVC, il sistema più corretto per effettuare questo tipo di controllo è realizzare un message handler, ossia un oggetto che viene inserito nella pipeline di elaborazione della richiesta ed eseguito a ogni chiamata. Si tratta di una classe che eredita da DelegatingHandler e che effettua l'override del metodo SendAsync:
internal class ApiKeyHandler : DelegatingHandler { protected override Task<HttpResponseMessage> SendAsync( HttpRequestMessage request, CancellationToken cancellationToken) { if (!this.ValidateKey(request)) { var response = new HttpResponseMessage(HttpStatusCode.Forbidden); var tsc = new TaskCompletionSource<HttpResponseMessage>(); tsc.SetResult(response); return tsc.Task; } return base.SendAsync(request, cancellationToken); } }
Nell'esempio in alto, a ogni richiesta eseguiamo il metodo ValidateKey, all'interno del quale abbiamo implementato la nostra logica di autorizzazione; se il controllo fallisce, l'elaborazione della pipeline viene interrotta e viene restituito un HTTP Status Code 403, altrimenti proseguiamo con il flusso originale. Un esempio molto banale di ValidateKey può essere il seguente, in cui controlliamo la presenza di un opportuno header nella richiesta.
private const string HEADER_NAME = "MyApiKey"; private bool ValidateKey(HttpRequestMessage message) { if (!message.Headers.Contains(HEADER_NAME)) return false; string key = message.Headers.GetValues(HEADER_NAME).FirstOrDefault(); return (key == "Chiave segretissima"); }
Una volta realizzato l'handler, non dobbiamo fare altro che registrarlo nel runtime di ASP.NET Web API, inserendo questo codice nell'Application_Start del global.asax:
GlobalConfiguration.Configuration .MessageHandlers.Add(new ApiKeyHandler());
Ovviamente si tratta di un sistema di sicurezza che, nella sua accezione più banale, è efficace solo se stiamo usando SSL, e quindi il protocollo HTTPS, altrimenti chiunque può leggere le credenziali usate e replicarle. La soluzione che abbiamo proposto, tuttavia, si presta anche a implementazioni più complesse, come la validazione di una eventuale firma digitale della richiesta.
Commenti
Per inserire un commento, devi avere un account.
Fai il login e torna a questa pagina, oppure registrati alla nostra community.
Approfondimenti
Short-circuiting della Pipeline in ASP.NET Core
Configurare policy CORS in Azure Container Apps
Gestire undefined e partial nelle reactive forms di Angular
.NET Conference Italia 2023
Sostituire la GitHub Action di login su private registry
Modificare i metadati nell'head dell'HTML di una Blazor Web App
Creare alias per tipi generici e tuple in C#
Sfruttare lo stream rendering per le pagine statiche di Blazor 8
Utilizzare la libreria Benchmark.NET per misurare le performance
Aggiungere interattività lato server in Blazor 8
Utilizzare un service principal per accedere a Azure Container Registry
Utilizzare domini personalizzati gestiti automaticamente con Azure Container Apps
I più letti di oggi
- Utilizzare Docker Compose con Azure App Service
- Modernizzare le applicazioni WPF e Windows Forms con Blazor
- annunciato #netstandard 2.1. .NET Core lo supporterà a partire da #netcore3, così come le prossime versione di #xamarin, #mono e #unity.il supporto per #netfx 4.8, invece, non ci sarà. https://aspit.co/bq2
- Steel Style CheckBox per Silverlight 4.0
- Utilizzare QuickGrid di Blazor con Entity Framework