Quando si pubblicano API su web, una delle necessità più comuni è quella di evitare che chiunque possa accedervi indiscriminatamente. Un tipico esempio è quello di un servizio di backend, a supporto di una nostra applicazione mobile: in un simile scenario, vogliamo fare in modo che solo quest'ultima possa invocare i metodi esposti.
Esistono diverse tecniche per raggiungere questo risultato, ma la più comune e facilmente realizzabile è quella di aggiungere delle credenziali (per esempio user e password, o una API-Key) all'header della richiesta, così che questa possa essere validata.
Sebbene anche in ASP.NET Web API sia presente l'infrastruttura dei filter tipica di ASP.NET MVC, il sistema più corretto per effettuare questo tipo di controllo è realizzare un message handler, ossia un oggetto che viene inserito nella pipeline di elaborazione della richiesta ed eseguito a ogni chiamata. Si tratta di una classe che eredita da DelegatingHandler e che effettua l'override del metodo SendAsync:
internal class ApiKeyHandler : DelegatingHandler { protected override Task<HttpResponseMessage> SendAsync( HttpRequestMessage request, CancellationToken cancellationToken) { if (!this.ValidateKey(request)) { var response = new HttpResponseMessage(HttpStatusCode.Forbidden); var tsc = new TaskCompletionSource<HttpResponseMessage>(); tsc.SetResult(response); return tsc.Task; } return base.SendAsync(request, cancellationToken); } }
Nell'esempio in alto, a ogni richiesta eseguiamo il metodo ValidateKey, all'interno del quale abbiamo implementato la nostra logica di autorizzazione; se il controllo fallisce, l'elaborazione della pipeline viene interrotta e viene restituito un HTTP Status Code 403, altrimenti proseguiamo con il flusso originale. Un esempio molto banale di ValidateKey può essere il seguente, in cui controlliamo la presenza di un opportuno header nella richiesta.
private const string HEADER_NAME = "MyApiKey"; private bool ValidateKey(HttpRequestMessage message) { if (!message.Headers.Contains(HEADER_NAME)) return false; string key = message.Headers.GetValues(HEADER_NAME).FirstOrDefault(); return (key == "Chiave segretissima"); }
Una volta realizzato l'handler, non dobbiamo fare altro che registrarlo nel runtime di ASP.NET Web API, inserendo questo codice nell'Application_Start del global.asax:
GlobalConfiguration.Configuration .MessageHandlers.Add(new ApiKeyHandler());
Ovviamente si tratta di un sistema di sicurezza che, nella sua accezione più banale, è efficace solo se stiamo usando SSL, e quindi il protocollo HTTPS, altrimenti chiunque può leggere le credenziali usate e replicarle. La soluzione che abbiamo proposto, tuttavia, si presta anche a implementazioni più complesse, come la validazione di una eventuale firma digitale della richiesta.
Commenti
Per inserire un commento, devi avere un account.
Fai il login e torna a questa pagina, oppure registrati alla nostra community.
Approfondimenti
Limitare le richieste lato server con l'interactive routing di Blazor 8
Effettuare il binding di date in Blazor
Personalizzare l'errore del rate limiting middleware in ASP.NET Core
Short-circuiting della Pipeline in ASP.NET Core
Effettuare il deploy di immagini solo da container registry approvati in Kubernetes
Sostituire la GitHub Action di login su private registry
Sfruttare i KeyedService in un'applicazione Blazor in .NET 8
Utilizzare la versione generica di EntityTypeConfiguration in Entity Framework Core
Utilizzare l'operatore GroupBy come ultima istruzione di una query LINQ in Entity Framework
Evitare il flickering dei componenti nel prerender di Blazor 8
Verificare la provenienza di un commit tramite le GitHub Actions
Specificare il versioning nel path degli URL in ASP.NET Web API