管杀不管埋?! 如何在浏览器中访问 .NET 8 保护的 Swagger UI 终结点?

最新推荐文章于 2024-05-27 19:26:33 发布
最新推荐文章于 2024-05-27 19:26:33 发布
阅读量239 收藏
点赞数
分类专栏: CSharp.NET 文章标签: .net8 swagger
原文链接:https://mp.weixin.qq.com/s?__biz=MzAwNTMxMzg1MA==&mid=2654098700&idx=4&sn=d11bb6ec9841917d3d5487a1a5a6ec30&chksm=80d87159b7aff84fb2ba77a3232970e831510f3e2160d226b2646ba2efd0ad55201716725e70&mpshare=1&scene=23&srcid=0115y7BREtDIcT7Z3xTBfRhn&sharer_shareinf
版权
.NET8的新特性使SwaggerUI受保护,但缺乏浏览器访问的解决方案。文章探讨了如何通过修改SwaggerUI配置,使用JavaScript在浏览器请求中添加JWT令牌,以实现访问受保护的SwaggerUI终结点。
摘要由CSDN通过智能技术生成

目录

官方示例

问题

探索

解决

总结

.NET 8 引入了一项新特性:调用 MapSwagger().RequireAuthorization 来保护 Swagger UI 终结点。这是一个很有用的功能,可以防止未经授权的用户访问 API 文档。

但是,这也带来了一个问题:如何在浏览器中访问受保护的 Swagger UI 终结点?

官方示例

官方文档给出了保护 swagger 终结点的示例代码:

using System.Security.Claims;

var builder = WebApplication.CreateBuilder(args);

builder.Services.AddEndpointsApiExplorer();
builder.Services.AddSwaggerGen();

builder.Services.AddAuthorization();
builder.Services.AddAuthentication("Bearer").AddJwtBearer();

var app = builder.Build();

//if (app.Environment.IsDevelopment())
//{
    app.UseSwagger();
    app.UseSwaggerUI();
//}

app.UseHttpsRedirection();

var summaries = new[]
{
    "Freezing", "Bracing", "Chilly", "Cool", "Mild", "Warm", "Balmy", "Hot", "Sweltering", "Scorching"
};

app.MapSwagger().RequireAuthorization();

app.MapGet("/", () => "Hello, World!");
app.MapGet("/secret", (ClaimsPrincipal user) => $"Hello {user.Identity?.Name}. My secret")
    .RequireAuthorization();

app.MapGet("/weatherforecast", () =>
{
    var forecast = Enumerable.Range(1, 5).Select(index =>
        new WeatherForecast
        (
            DateOnly.FromDateTime(DateTime.Now.AddDays(index)),
            Random.Shared.Next(-20, 55),
            summaries[Random.Shared.Next(summaries.Length)]
        ))
        .ToArray();
    return forecast;
})
.WithName("GetWeatherForecast")
.WithOpenApi();

app.Run();

internal record WeatherForecast(DateOnly Date, int TemperatureC, string? Summary)
{
    public int TemperatureF => 32 + (int)(TemperatureC / 0.5556);
}

在上面的代码中,/weatherforecast 终结点不需要授权,但 Swagger 终结点需要授权。

以下 Curl 传递 JWT 令牌来访问 Swagger UI 终结点:

curl -i -H "Authorization: Bearer {token}" https://localhost:{port}/swagger/v1/swagger.json

问题

虽然使用 Curl 可以访问 swagger.json,但是这并不是一个方便的方式。

一般来说,我们更倾向于使用浏览器来查看 API 文档。但是,使用浏览器访问的效果如下:

图片

因为浏览器请求swagger.json时没法传递 JWT 令牌。

搜索了一下,官网没有提供解决方案,网上也没有人说碰到了这个问题。

这是一个值得关注的问题,因为它影响了开发者的体验和效率。

为了解决这个问题,我们需要找到一种方法,让浏览器请求swagger.json时能够携带 JWT 令牌。

探索

查看swagger/index.html的源代码,我们发现swagger.json是通过一个 JavaScript 函数加载的。

window.onload函数中找到这样一段:

// Parse and add interceptor functions
var interceptors = JSON.parse('{"RequestInterceptorFunction":null,"ResponseInterceptorFunction":null}');
if (interceptors.RequestInterceptorFunction)
    configObject.requestInterceptor = parseFunction(interceptors.RequestInterceptorFunction);

RequestInterceptorFunction这个名字可以猜测,它是用来拦截请求的

但是现在它的值为 null, 那么怎么为RequestInterceptorFunction赋值呢?

那只能在注册 Swagger UI 的位置了。

解决

app.UseSwaggerUI方法中,我们找到了RequestInterceptorFunction属性,它的帮助文档里的示例如下:

/// Ex: "function (req) { req.headers['MyCustomHeader'] = 'CustomValue'; return req; }"

这正是我们想要的效果!

请求swagger.json时传递 JWT 令牌。

最后实现代码如下:

var js = @"function (req) {
    if(req.url.includes('swagger.json'))
    { 
        searchParams = new URLSearchParams(window.location.search);
        if (searchParams.has('token'))
        {
            req.headers['Authorization'] = 'Bearer '+searchParams.get('token');
        }
    }
    return req; 
}";

app.UseSwaggerUI(option=>option.Interceptors.RequestInterceptorFunction = js.Replace("\r\n",""));

当请求swagger.json时,我们将浏览器地址栏中的token参数添加到Authorization Header中。

图片

总结

.NET 8 引入了一项新特性:调用 MapSwagger().RequireAuthorization 来保护 Swagger UI 终结点。这是一个很有用的功能,可以防止未经授权的用户访问 API 文档。

但是,官方并没提供如何在浏览器中优雅地访问受保护的 Swagger UI 终结点的方案。

我们通过修改 Swagger UI 的配置,实现了在浏览器中携带 JWT 令牌访问 Swagger UI 的功能。

引入地址 

寒冰屋
关注
专栏目录
.net8系列-04图文并茂手把手教你配置Swagger支持token以及实现Swagger扩展,Swagger代码单独抽离
tangdou369098655的博客
04-27 1134
.net8系列-04图文并茂手把手教你配置Swagger支持token以及实现Swagger扩展,Swagger代码单独抽离
解决:net8使用swagger的时候,调用接口401,Error: Unauthorized,无法通过验证,其实是因为没有Authorization头
最新发布
scoful的专栏
06-22 1万+
解决:net8使用swagger的时候,调用接口401,Error: Unauthorized,无法通过验证,其实是因为没有Authorization头
.net8系列-03图文并茂手把手教你配置Swagger以及实现接口版本控制
tangdou369098655的博客
04-21 2032
在创建项目的时候我们已经有了一个基础版本的Swagger,可以看到接口以及测试接口,接下来我们配置显示接口注释和实现接口的版本控制
ASP.NET CORE 第八篇 Swagger:API多版本控制,带来的思考
雨中深巷的油纸伞
12-28 1848
原文作者:老张的哲学 1、什么是版本控制 这个词语大家已经不会陌生,平时开发的时候,一定会用到过 Git 、SVN 或者 VSS (这三个我都用过,Git 应该是最好的),这个就是源代码的版本控制。 来句官方定义:版本控制是指对软件开发过程各种程序代码、配置文件及说明文档等文件变更的管理,是软件配置管理的核心思想之一。 那今天我们说的,就是 api接口的版本控制,这个大家一定也都接触到了...
.NETSwagger使用
qq_42335551的博客
12-23 2324
现在很多项目都是前后端分离的项目,后端写好接口跟前端对接,需要后端提供接口文档、参数等注释,这上面花时间着这些东西,接口修改又要去修改文档,很不方便前后端人员开发有Sawwger有利于前后端开发人员接口的对接,调试,功能上挺丰富的,简单的写了以上几
.Net项目使用Swagger
神奇少年的博客
06-27 897
.Net项目使用Swagger做接口文档Swagger简述项目引用配置Swagger合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 Swagger简述 Swagger (OpenAPI) 是一个与语言无关的规范,用于描述 REST API。
Asp.Net WebApi添加SwaggerUI
01-08
Asp.Net WebApi添加SwaggerUI是一项重要的开发任务,它能够为API提供友好的文档和测试接口,便于开发者理解和使用API。SwaggerUISwagger工具集的一部分,它基于Swagger规范,能够生成交互式的API文档,使API的调试...
Spring Boot引入swagger-uiswagger-ui.html无法访问404的问题
09-07
在Spring Boot应用Swagger是一个强大的工具,它可以帮助开发者生成、描述、测试和展示RESTful API。Swagger UISwagger的一部分,提供了一个用户友好的界面,允许用户交互式地浏览和测试API。然而,在Spring ...
.net core6.0swagger注入demo
05-16
这将启用Swagger UI,用户可以通过浏览器访问 `/swagger` URL 来查看和测试API。 为了增强Swagger的功能,我们可以为每个API控制器和操作添加元数据,以便Swagger能自动生成准确的文档。使用`[ApiController]`装饰...
Asp.Net Core使用swagger生成api文档的完整步骤
10-15
在Asp.Net CoreSwagger是一个强大的工具,用于生成API文档,它可以帮助开发者轻松地创建、测试和理解API接口。本篇文章将详细讲解如何在Asp.Net Core项目使用NSwag(包括Swashbuckle)来实现Swagger的集成。 ...
swagger-ui-watcher:在Swagger文件更改时自动刷新Swagger UI
05-11
Swagger UI Watcher可检测到本地Swagger文件的更改,并在浏览器重新加载Swagger UI,从而为您提供流畅的工作流程。 它主要是为使用$ ref处理多个Swagger文件而开发的。 为什么? 使用在线Swagger编辑器很烦人。...
.net搭建swagger
qq_37243112的博客
12-05 1563
引用:https://blog.csdn.net/wjf1997/article/details/90348921 前言: 之前博客说了要给大家分享如何搭建swagger,那么这篇就给大家说说如何搭建! 什么是swagger? Swagger是一个规范和完整的框架,用于生成、描述、调用和可视化RESTful风格的Web服务。总体目标是客户端和文件系统作为服务器以同样的速度来更新。文件的方法,参数和模型紧密集成到服务器端的代码,允许API来始终保持同步。Swagger让部署管理和...
创建Net8WebApi自动创建OpenApi集成swagger
qq_27860623的博客
03-06 738
创建Net8WebApi自动创建OpenApi集成swagger
.Net Core微服务入门——Swagger接入
weixin_41003771的博客
08-02 758
.Net Core微服务入门——Swagger接入 一、API接入Swagger 1、引入包:Swashbuckle.AspNetCore 2、修改Startup,在ConfigureServices 添加 Swagger public void ConfigureServices(IServiceCollection services) { // 添加Swagger services.AddSwaggerGen(c => { c.SwaggerDoc("v1
Swagger访问不了的一种解决方案
qq_43243842的博客
08-13 2605
这是众多访问不了的情况其的一种,如果不符合你的问题,请再看看别人的文章。 项目是前后端分离 代码出现@Override下面这个方法 导致swagger请求进不来 把它注释掉 public void addViewControllers ...
ASP.NET Core 8 的运行环境 Environment
gnimgnot
08-29 1447
运行时环境变量可以用于根据不同的开发阶段运行不同的逻辑,比如在开发阶段的某些功能或保密信息不暴露在正式上线的代码。可以在 Properties\launchSettings.json 文件设置 ASPNETCORE_ENVIRONMENT 变量来标识。
.NET Core WebAPI使用Swagger(完整教程)
西瓜程序猿
08-02 8170
Swagger是一个规范且完整的框架,用于生成、描述、调试和可视化Restfull风格的Web服务。Swagger的目标是对Rest API定义一个标准且和语言无关的接口,可以让人和计算机拥有无需访问源码、文档或网络流量监控就可以发现和连接服务的能力。当通过Swagger进行正确定义,用于可以理解远程服务并使用最少逻辑与远程服务进行交互。与为底层编程所实现的接口类似,Swagger消除了调用服务时可能会有的猜测。
Swagger测试接口,请求头添加token
m0_70618214的博客
05-27 2030
在日常开发,我们的业务需要用户登录,权限控制。但是在某些情况下我们使用Swagger测试接口,部分接口需要携带token,才能访问,就需要在swagger添加token窗口。效果图:由 右上角 Authorize 添加 token。2023最新自动化测试自学教程新手小白26天入门最详细教程,目前已有300多人通过学习这套教程入职大厂!!_哔哩哔哩_bilibili2023最新合集Python自动化测试开发框架【全栈/实战/教程】合集精华,学完年薪40W+_哔哩哔哩_bilibili​​​​​​。
ASP.NET集成Swagger:文件上传与JWT认证的实践教程
"本文档主要介绍了如何在ASP.NET利用Swagger技术上传文件,并集成JWT(JSON Web Tokens)认证功能。Swagger是一个用于描述RESTful API的规范和工具,其目标是提供一个标准化的方式来展示API的接口和功能,帮助...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值