Come sappiamo, tramite il pacchetto NuGet Swashbuckle, possiamo generare automaticamente lo swagger document di un progetto ASP.NET Core Web API e dotare la nostra applicazione di una pagina web che illustri tutti gli endpoint esposti.
Un aspetto importante di cui tenere conto è che sia la pagina, sia il documento swagger, sono pubblicamente disponibili, a prescindere dal fatto che la nostra Web API sia invece magari protetta da OAuth. In alcuni contesti, questo potrebbe non essere accettabile, richiedendoci quindi di proteggere dietro autenticazione queste pagine.
L'autenticazione basata su OAuth non è indicata per questo tipo di necessità, visto che richiederebbe un token JWT come header della richiesta della pagina web. Ciò che vogliamo invece è utilizzare OpenID Connect, così che venga effettuato un redirect verso l'Identity Provider (per esempio Azure Active Directory).
Il primo passo allora è quello di configurare, oltre al protocollo OAuth, anche l'autenticazione OpenID Connect, all'interno del metodo ConfigureServices della classe Startup:
public void ConfigureServices(IServiceCollection services) { // questa configurazione è usata per proteggere Web API services.AddAuthentication(AzureADDefaults.BearerAuthenticationScheme) .AddAzureADBearer(options => Configuration.Bind("AzureAd", options)); // questo configurazione è usata per proteggere la pagina Swagger services.AddAuthentication() .AddOpenIdConnect(options => { options.ClientId = "[clientID dell'applicazione]"; options.Authority = $"https://login.microsoftonline.com/[tenantId]"; options.UseTokenLifetime = true; options.CallbackPath = "/signin-oidc"; options.RequireHttpsMetadata = false; options.SignInScheme = CookieAuthenticationDefaults.AuthenticationScheme; options.SignOutScheme = CookieAuthenticationDefaults.AuthenticationScheme; }) .AddCookie(); // altro codice qui
Come possiamo notare dal codice in alto, la nostra applicazione usufruirà di tre sistemi di autenticazione differenti:
- JwtBearer è il provider per OAuth, ed è configurato come default. Questo vuol dire che ogni controller dotato dell'attributo Authorize, utilizzerà questo provider per procedere all'autenticazione dell'utente;
- il provider OpenIDConnect sfrutta nel nostro caso il medesimo client ID su Azure Active Directory e verrà attivato solo all'occorrenza, con una tecnica che vedremo più in basso;
- OpenIDConnect non è autosufficiente, e necessita di un ulteriore provider tramite cui memorizzare l'esito dell'autenticazione. Per questo motivo abbiamo aggiunto anche la Cookie authentication, che abbiamo referenziato come SignInScheme e SignOutScheme.
A questo punto siamo pronti per utilizzare la nostra autenticazione secondaria, registrando un nuovo middleware tramite il metodo app.Use all'interno di Configure:
public void Configure(IApplicationBuilder app, IWebHostEnvironment env) { // .. altro codice qui .. app.Use(async (ctx, next) => { if (ctx.Request.Path.ToString().Contains("swagger")) { var result = await ctx.AuthenticateAsync( CookieAuthenticationDefaults.AuthenticationScheme); if (!result.Succeeded) { await ctx.ChallengeAsync(OpenIdConnectDefaults.AuthenticationScheme); return; } } await next(); }); app.UseSwagger(); app.UseSwaggerUI(...); // .. altro codice qui .. }
La logica di questo middleware si attiva solo quando l'URL contiene la parola "swagger" e prova inizialmente ad autenticare l'utente tramite Cookie. Il metodo AuthenticateAsync ritornerà un risultato Succeded se l'utente ha già effettuato il login in precedenza e memorizzato l'esito in un cookie. In caso contrario, il passo successivo è quello di invocare l'autenticazione OpenID Connect che effettuerà il redirect verso l'identity provider, richiedendo quindi username e password all'utente.
Un'ultima nota è relativa al fatto che dobbiamo ovviamente registrare questo middleware prima di Swagger e SwaggerUI, così che il controllo sull'autenticazione preceda il rendering della pagina o del Json di Swagger.
Commenti
Per inserire un commento, devi avere un account.
Fai il login e torna a questa pagina, oppure registrati alla nostra community.
Approfondimenti
Implementare il throttling in ASP.NET Core
Copiare automaticamente le secret tra più repository di GitHub
Utilizzare le collection expression in C#
Come EF 8 ha ottimizzato le query che usano il metodo Contains
C# 12: Cosa c'è di nuovo e interessante
Trasformare qualsiasi backend in un servizio GraphQL con Azure API Management
Utilizzare Tailwind CSS all'interno di React: primi componenti
Reactive form tipizzati con modellazione del FormBuilder in Angular
Usare Refit e Polly in Blazor per creare client affidabili e fortemente tipizzati
Usare il versioning con i controller di ASP.NET Core Web API
Load test di ASP.NET Core con k6
I più letti di oggi
- ASP.NET Core Identity 8: è rivoluzione?
- Tutorial ASP.NET Dynamic Data Control
- Accesso dai dati con Entity Framework 7
- Utilizzare la classe XmlDataDocument per leggere un Feed RSS
- Microsoft Security Bulletin MS08-067
- Le novità di ASP.NET 4.5
- Mostrare tutti i cookie creati in fase di debug
- MIX 2011: Tutte le novità dei tool di ASP.NET MVC 3
- Usare il sensore di luminosità ambientale nelle Universal App