. NET Web API 2 OWIN-указатель на токен аутентификации прямой вызов

Question

У меня проблема с моим проектом Web Api. У меня есть файлы, хранящиеся в моей базе данных, и вы хотите их напрямую вызвать в новом окне для просмотра/сохранения (например:/api/Files/5 - 5 beeing the FileId)

У меня все время работает с указателем-носителем для моих общих запросов AJAX с AngularJS для обычных Данных, и это работает как шарм. Для файла я создал контроллер, который показывает файл в браузере с соответствующим MIME-типом. Но теперь, когда я изменил действие на [Авторизовать], я получил Access Denied, который является правильным, потому что я не передал access_token в HTTP-заголовке.

Я сделал довольно некоторое исследование, если можно пропустить токен через строку запроса, но не нашел ничего полезного.

Теперь мой план состоит в том, чтобы удалить атрибут [Авторизовать] от моего контроллера и попытаться проверить токен самостоятельно, но я не знаю, как это сделать.

Кто-нибудь знает, как я могу заставить его работать?

Answer 1

Хотя я не уверен, что это очень хорошая идея, вы можете реализовать DelegatingHandler, чтобы достичь того, что ищете.

public class QueryStringBearerToken : DelegatingHandler 
{ 
    protected override Task<HttpResponseMessage> SendAsync(HttpRequestMessage request, CancellationToken cancellationToken) 
    { 
     var bearerToken = request.GetQueryNameValuePairs() 
           .Where(kvp => kvp.Key == "bearerToken") 
           .Select(kvp => kvp.Value) 
           .FirstOrDefault(); 

     if(!String.IsNullOrEmpty(bearerToken)) 
     { 
      request.Headers.Add("Authorization", "Bearer " + bearerToken); 
     } 
     return base.SendAsync(request, cancellationToken); 
    } 
} 

Этот обработчик будет искать строку запроса с именем "bearerToken" и, если он существует, будет добавить его в заголовок запроса для последующих обработчиков/фильтра для обработки. Сначала вы можете проверить, если заголовок уже присутствует и не переопределяется в этом случае. Вы можете добавить этот обработчик в вашей фазе конфигурации обычным способом:

config.MessageHandlers.Insert(0, new QueryStringBearerToken()); 

Запрос на /YourRoute?bearerToken=theToken будет проходить в DelegatingHandler, добавляя маркер, переданный в строку запроса в список заголовков в исходном запросе а обычная аутентификация маркера предъявителя будет искать заголовок и найти его.

Answer 2

Эта функция уже встроена в - я писал об этом здесь:

http://leastprivilege.com/2013/10/31/retrieving-bearer-tokens-from-alternative-locations-in-katanaowin/

Answer 3

Я реализовал маркер аутентификации знаменосцем в мое приложение (AngularJS, WebAPI 2) и у меня была аналогичная проблема - мне нужно, чтобы позволить загружая файлы, нажав на ссылку. Когда вы нажимаете на заголовки, ссылки не отправляются. :( Итак, я послал значение маркера в строке запроса, чтобы загрузить файл

.../mywebapp/API/файлы/GetFile/3? Access_token = jaCOTrGsaak6Sk0CpPc1 ...

и установить «Авторизация . "заголовок лексем значение в Startup.Auth.cs Вот код:

public void ConfigureAuth(IAppBuilder app) 
{ 
    //It needs for file downloads 
    app.Use(async (context, next) => 
    { 
     if (context.Request.QueryString.HasValue) 
     { 
      if (string.IsNullOrWhiteSpace(context.Request.Headers.Get("Authorization"))) 
      { 
       var queryString = HttpUtility.ParseQueryString(context.Request.QueryString.Value); 
       string token = queryString.Get("access_token"); 

       if (!string.IsNullOrWhiteSpace(token)) 
       { 
        context.Request.Headers.Add("Authorization", new[] { string.Format("Bearer {0}", token) }); 
       } 
      } 
     } 

     await next.Invoke(); 
    }); 
    // Enable the application to use bearer tokens to authenticate users 
    app.UseOAuthBearerTokens(OAuthOptions); 
} 

Answer 4

для ASP .Net Ядра я сделал что-то подобное на основе ответа Форвард«s

E Метод XTension

public static void UseQueryStringBearerValidation(this IApplicationBuilder app) 
    { 
     //It needs for file downloads 
     app.Use(async (context, next) => 
     { 
      if (context.Request.QueryString.HasValue) 
      { 
       if (string.IsNullOrWhiteSpace(context.Request.Headers["Authorization"].ToString())) 
       { 
        var queryString = QueryHelpers.ParseQuery(context.Request.QueryString.Value); 
        var token = queryString["access_token"].ToString(); 

        if (!string.IsNullOrWhiteSpace(token)) 
        { 
         context.Request.Headers.Add("Authorization", new[] {$"Bearer {token}"}); 
        } 
       } 
      } 

      await next(); 
     }); 
    } 

Использование

StartUp.cs -> Настроить() метод

  app.UseCustomExceptionHandler(); 
      app.UseQueryStringBearerValidation(); // <-- add before Jwt Handler 
      app.UseCustomJwtBearerValidation(); 
      app.AddHttpContextProperties(); 
      app.UseStaticFiles(); 
      app.UseMvc(MiddlewareAppConfiguration.AddRouteMappings);