管杀不管埋?! 如何在浏览器中访问 .NET 8 保护的 Swagger UI 终结点?

最新推荐文章于 2024-04-21 01:58:40 发布
最新推荐文章于 2024-04-21 01:58:40 发布
阅读量177 收藏
点赞数
分类专栏: CSharp.NET 文章标签: .net8 swagger
原文链接:https://mp.weixin.qq.com/s?__biz=MzAwNTMxMzg1MA==&mid=2654098700&idx=4&sn=d11bb6ec9841917d3d5487a1a5a6ec30&chksm=80d87159b7aff84fb2ba77a3232970e831510f3e2160d226b2646ba2efd0ad55201716725e70&mpshare=1&scene=23&srcid=0115y7BREtDIcT7Z3xTBfRhn&sharer_shareinf
版权

目录

官方示例

问题

探索

解决

总结

.NET 8 引入了一项新特性:调用 MapSwagger().RequireAuthorization 来保护 Swagger UI 终结点。这是一个很有用的功能,可以防止未经授权的用户访问 API 文档。

但是,这也带来了一个问题:如何在浏览器中访问受保护的 Swagger UI 终结点?

官方示例

官方文档给出了保护 swagger 终结点的示例代码:

using System.Security.Claims;

var builder = WebApplication.CreateBuilder(args);

builder.Services.AddEndpointsApiExplorer();
builder.Services.AddSwaggerGen();

builder.Services.AddAuthorization();
builder.Services.AddAuthentication("Bearer").AddJwtBearer();

var app = builder.Build();

//if (app.Environment.IsDevelopment())
//{
    app.UseSwagger();
    app.UseSwaggerUI();
//}

app.UseHttpsRedirection();

var summaries = new[]
{
    "Freezing", "Bracing", "Chilly", "Cool", "Mild", "Warm", "Balmy", "Hot", "Sweltering", "Scorching"
};

app.MapSwagger().RequireAuthorization();

app.MapGet("/", () => "Hello, World!");
app.MapGet("/secret", (ClaimsPrincipal user) => $"Hello {user.Identity?.Name}. My secret")
    .RequireAuthorization();

app.MapGet("/weatherforecast", () =>
{
    var forecast = Enumerable.Range(1, 5).Select(index =>
        new WeatherForecast
        (
            DateOnly.FromDateTime(DateTime.Now.AddDays(index)),
            Random.Shared.Next(-20, 55),
            summaries[Random.Shared.Next(summaries.Length)]
        ))
        .ToArray();
    return forecast;
})
.WithName("GetWeatherForecast")
.WithOpenApi();

app.Run();

internal record WeatherForecast(DateOnly Date, int TemperatureC, string? Summary)
{
    public int TemperatureF => 32 + (int)(TemperatureC / 0.5556);
}

在上面的代码中,/weatherforecast 终结点不需要授权,但 Swagger 终结点需要授权。

以下 Curl 传递 JWT 令牌来访问 Swagger UI 终结点:

curl -i -H "Authorization: Bearer {token}" https://localhost:{port}/swagger/v1/swagger.json

问题

虽然使用 Curl 可以访问 swagger.json,但是这并不是一个方便的方式。

一般来说,我们更倾向于使用浏览器来查看 API 文档。但是,使用浏览器访问的效果如下:

图片

因为浏览器请求swagger.json时没法传递 JWT 令牌。

搜索了一下,官网没有提供解决方案,网上也没有人说碰到了这个问题。

这是一个值得关注的问题,因为它影响了开发者的体验和效率。

为了解决这个问题,我们需要找到一种方法,让浏览器请求swagger.json时能够携带 JWT 令牌。

探索

查看swagger/index.html的源代码,我们发现swagger.json是通过一个 JavaScript 函数加载的。

window.onload函数中找到这样一段:

// Parse and add interceptor functions
var interceptors = JSON.parse('{"RequestInterceptorFunction":null,"ResponseInterceptorFunction":null}');
if (interceptors.RequestInterceptorFunction)
    configObject.requestInterceptor = parseFunction(interceptors.RequestInterceptorFunction);

RequestInterceptorFunction这个名字可以猜测,它是用来拦截请求的

但是现在它的值为 null, 那么怎么为RequestInterceptorFunction赋值呢?

那只能在注册 Swagger UI 的位置了。

解决

app.UseSwaggerUI方法中,我们找到了RequestInterceptorFunction属性,它的帮助文档里的示例如下:

/// Ex: "function (req) { req.headers['MyCustomHeader'] = 'CustomValue'; return req; }"

这正是我们想要的效果!

请求swagger.json时传递 JWT 令牌。

最后实现代码如下:

var js = @"function (req) {
    if(req.url.includes('swagger.json'))
    { 
        searchParams = new URLSearchParams(window.location.search);
        if (searchParams.has('token'))
        {
            req.headers['Authorization'] = 'Bearer '+searchParams.get('token');
        }
    }
    return req; 
}";

app.UseSwaggerUI(option=>option.Interceptors.RequestInterceptorFunction = js.Replace("\r\n",""));

当请求swagger.json时,我们将浏览器地址栏中的token参数添加到Authorization Header中。

图片

总结

.NET 8 引入了一项新特性:调用 MapSwagger().RequireAuthorization 来保护 Swagger UI 终结点。这是一个很有用的功能,可以防止未经授权的用户访问 API 文档。

但是,官方并没提供如何在浏览器中优雅地访问受保护的 Swagger UI 终结点的方案。

我们通过修改 Swagger UI 的配置,实现了在浏览器中携带 JWT 令牌访问 Swagger UI 的功能。

引入地址 

寒冰屋
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Boot引入swagger-uiswagger-ui.html无法访问404的问题
09-07
主要介绍了Spring Boot引入swagger-uiswagger-ui.html无法访问404的问题及解决方法,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
golang-swaggerui-example:Golang的SwaggerUI生成示例
05-14
golang-swaggerui-example Golang-swaggerui-example是一个示例存储库,用于在您的Golang项目使用SwaggerUI设置API文档。 详细说明可在。 API互动 可以通过访问localhost:8080 / swaggerui /访问SwaggerUI,有关如何服务/ swaggerui的详细说明,请参见博客文章。 笔记 Swagger.json不应位于您的git存储库,而应由CI工具生成。 此处提供的代码未遵循任何标准。 它仅用于演示在简单的go项目生成混乱规格的过程。 不要将此项目结构/实现用作您的Golang REST项目的参考。 执照 golang-swaggerui-example已获得MIT许可。 有关详细信息,请检查文件。 作者
在Spring Boot使用swagger-bootstrap-ui的方法
08-28
主要介绍了在Spring Boot使用swagger-bootstrap-ui的方法,需要的朋友可以参考下
.net8系列-03图文并茂手把手教你配置Swagger以及实现接口版本控制
tangdou369098655的博客
04-21 787
在创建项目的时候我们已经有了一个基础版本的Swagger,可以看到接口以及测试接口,接下来我们配置显示接口注释和实现接口的版本控制
Asp.Net WebApi添加SwaggerUI
01-08
Visual Studio 2017下Asp.Net WebApi应用添加SwaggerUI 附详细解说
swagger-ui-watcher:在Swagger文件更改时自动刷新Swagger UI
05-11
Swagger UI观察器 Swagger UI Watcher可检测到本地Swagger文件的更改,并在浏览器重新加载Swagger UI,从而为您提供流畅的工作流程。 它主要是为使用$ ref处理多个Swagger文件而开发的。 为什么? 使用在线Swagger编辑器很烦人。 您必须来回复制和粘贴您的Swagger文件。 相对和本地系统$ ref不适用于在线Swagger Editor v3 每次更新后,从多个Swagger文件手动创建捆绑包是不切实际且令人厌烦的。 使用我选择的编辑器/工具非常棒。 安装 版本 昂首阔步版本 1.0.10 2个 > = 2.0 3 npm install swagger-ui-watcher -g 用法 要查看目标目录的更改,请使用以下命令 swagger-ui-watcher ./main-swagger-file.json 其他
ASP.NET CORE 第八篇 Swagger:API多版本控制,带来的思考
雨中深巷的油纸伞
12-28 1737
原文作者:老张的哲学 1、什么是版本控制 这个词语大家已经不会陌生,平时开发的时候,一定会用到过 Git 、SVN 或者 VSS (这三个我都用过,Git 应该是最好的),这个就是源代码的版本控制。 来句官方定义:版本控制是指对软件开发过程各种程序代码、配置文件及说明文档等文件变更的管理,是软件配置管理的核心思想之一。 那今天我们说的,就是 api接口的版本控制,这个大家一定也都接触到了...
.NETSwagger使用
qq_42335551的博客
12-23 1851
现在很多项目都是前后端分离的项目,后端写好接口跟前端对接,需要后端提供接口文档、参数等注释,这上面花时间着这些东西,接口修改又要去修改文档,很不方便前后端人员开发有Sawwger有利于前后端开发人员接口的对接,调试,功能上挺丰富的,简单的写了以上几
.Net项目使用Swagger
神奇少年的博客
06-27 770
.Net项目使用Swagger做接口文档Swagger简述项目引用配置Swagger合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 Swagger简述 Swagger (OpenAPI) 是一个与语言无关的规范,用于描述 REST API。
.net搭建swagger
qq_37243112的博客
12-05 1498
引用:https://blog.csdn.net/wjf1997/article/details/90348921 前言: 之前博客说了要给大家分享如何搭建swagger,那么这篇就给大家说说如何搭建! 什么是swagger? Swagger是一个规范和完整的框架,用于生成、描述、调用和可视化RESTful风格的Web服务。总体目标是客户端和文件系统作为服务器以同样的速度来更新。文件的方法,参数和模型紧密集成到服务器端的代码,允许API来始终保持同步。Swagger让部署管理和...
创建Net8WebApi自动创建OpenApi集成swagger
qq_27860623的博客
03-06 588
创建Net8WebApi自动创建OpenApi集成swagger
Asp.Net Core集成Swagger
weixin_30300225的博客
08-28 153
  工作一个公司会有很多个项目,项目之间的交互经常需要编写 API 来实现,但是编写文档是一件繁琐耗时的工作,并且随着 API 的迭代,每次都需要去更新维护接口文档,很多时候由于忘记或者人员交替的愿意造成接口文档与代码不一致。   在实际工作,有的公司会有强制的代码规范,要求代码必须要有注释以及字段、方法、类、接口等的命名规范。但是很多小公司是不存在的,即使按照了规范编写代码也还是...
.Net 8.0 Web API Controllers 添加到 windows 服务
csdn_aspnet的专栏
01-16 1788
但是,如果您希望能够让它托管 API 控制器(也许是为了查看它正在运行的进程的状态),您将需要添加并进行一些更改。要卸载在终端 sc.exe 运行的服务,请删除“My Worker Service”浏览到http://localhost:5000/my以确保它正在运行。在 Windows 打开“服务”应用程序,您应该会在那里看到它。(如果更改了 appsettings.json 的端口,则浏览到。在弹出窗口,选择“文件夹”,然后按“下一步”、 “完成并关闭”在Program.cs,您将添加。
.Net Core微服务入门——Swagger接入
weixin_41003771的博客
08-02 719
.Net Core微服务入门——Swagger接入 一、API接入Swagger 1、引入包:Swashbuckle.AspNetCore 2、修改Startup,在ConfigureServices 添加 Swagger public void ConfigureServices(IServiceCollection services) { // 添加Swagger services.AddSwaggerGen(c => { c.SwaggerDoc("v1
swaager配置以及使用
Estrus5的博客
10-24 279
swagger配置以及使用
基于springboot+vue+MySQL实现的在线考试系统+源代码+文档
06-01
web期末作业设计网页 基于springboot+vue+MySQL实现的在线考试系统+源代码+文档
318_面向物联网机器视觉的目标跟踪方法设计与实现的详细信息-源码.zip
06-02
提供的源码资源涵盖了安卓应用、小程序、Python应用和Java应用等多个领域,每个领域都包含了丰富的实例和项目。这些源码都是基于各自平台的最新技术和标准编写,确保了在对应环境下能够无缝运行。同时,源码配备了详细的注释和文档,帮助用户快速理解代码结构和实现逻辑。 适用人群: 这些源码资源特别适合大学生群体。无论你是计算机相关专业的学生,还是对其他领域编程感兴趣的学生,这些资源都能为你提供宝贵的学习和实践机会。通过学习和运行这些源码,你可以掌握各平台开发的基础知识,提升编程能力和项目实战经验。 使用场景及目标: 在学习阶段,你可以利用这些源码资源进行课程实践、课外项目或毕业设计。通过分析和运行源码,你将深入了解各平台开发的技术细节和最佳实践,逐步培养起自己的项目开发和问题解决能力。此外,在求职或创业过程,具备跨平台开发能力的大学生将更具竞争力。 其他说明: 为了确保源码资源的可运行性和易用性,特别注意了以下几:首先,每份源码都提供了详细的运行环境和依赖说明,确保用户能够轻松搭建起开发环境;其次,源码的注释和文档都非常完善,方便用户快速上手和理解代码;最后,我会定期更新这些源码资源,以适应各平台技术的最新发展和市场需求。
FPGA Verilog 计算信号频率,基础时钟100Mhz,通过锁相环ip核生成200Mhz检测时钟,误差在10ns
最新发布
06-02
结合等精度测量原理和原理示意图可得:被测时钟信号的时钟频率fx的相对误差与被测时钟信号无关;增大“软件闸门”的有效范围或者提高“标准时钟信号”的时钟频率fs,可以减小误差,提高测量精度。 实际闸门下被测时钟信号周期数为X,设被测信号时钟周期为Tfx,它的时钟频率fx = 1/Tfx,由此可得等式:X * Tfx = X / fx = Tx(实际闸门)。 其次,将两等式结合得到只包含各自时钟周期计数和时钟频率的等式:X / fx = Y / fs = Tx(实际闸门),等式变换,得到被测时钟信号时钟频率计算公式:fx = X * fs / Y。 最后,将已知量标准时钟信号时钟频率fs和测量量X、Y带入计算公式,得到被测时钟信号时钟频率fx。
ASP.net webapicore发布成exe运行后为啥无法访问swagger
06-13
在ASP.NET Web API CoreSwagger是一个用于构建Web API文档的框架。在开发阶段,我们可以通过访问http://localhost:portNumber/swagger/index.html来查看生成的Web API文档。但是,如果我们将ASP.NET Web API Core应用程序发布成exe文件并运行,可能会无法访问Swagger UI。 这是因为Swagger UI在运行时需要访问应用程序的xml文档注释,以便生成Web API文档。在ASP.NET Web API Core,默认情况下并不会将xml文档注释包含在发布的exe文件。因此,我们需要手动将xml文档注释包含在发布的exe文件。 以下是如何在ASP.NET Web API Core包含xml文档注释的步骤: 1. 在项目的属性,打开“生成”选项卡,并勾选“XML文档文件”选项。 2. 在“XML文档文件”选项输入文档文件的名称,如“WebApiDocumentation.xml”。 3. 在项目的根目录下找到生成的XML文档文件,并将其拷贝到发布文件夹。 4. 在应用程序启动时,添加以下代码以启用Swagger UI: ```csharp app.UseSwagger(); app.UseSwaggerUI(c => { c.SwaggerEndpoint("/swagger/v1/swagger.json", "My API V1"); }); ``` 其,`app`是`IApplicationBuilder`类型的实例。 5. 重新发布应用程序,并运行exe文件,访问http://localhost:portNumber/swagger/index.html即可查看Web API文档。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值