我有一个持续调度的 Web 作业,它正在监视消息队列、提取消息并调用对等网站上的 Web API 来处理消息(在这种情况下,使用 SignalR 向适当的用户发送通知)。
在这种情况下,安全调用 Web API 的最佳方式是什么?托管在网站中的 API 显然会以其他方式暴露出来。也许使用基本身份验证或在配置中存储安全令牌并将其从作业传递到 Web API。或者创建一个自定义 AuthorizeAttribute?
非常感谢 Ant 关于保护来自 WebJob 的 Web API 调用的想法。API 应该只能从 WebJob 调用。
更新: 可能是这样的?
首先我声明这个类;
public class TokenAuthenticationHeaderValue : AuthenticationHeaderValue
{
public TokenAuthenticationHeaderValue(string token)
: base("Token", Convert.ToBase64String(Encoding.UTF8.GetBytes(token)))
{ }
}
然后调用者(WebJob)在发出 HTTP 请求时使用此类设置 auth 标头;
using (var client = new HttpClient())
{
client.BaseAddress = new Uri(/* something */);
client.DefaultRequestHeaders.Accept.Clear();
client.DefaultRequestHeaders.Accept.Add(new MediaTypeWithQualityHeaderValue("application/json"));
client.DefaultRequestHeaders.Authorization = new TokenAuthenticationHeaderValue("TOKEN FROM CONFIG");
// ....
在 Web API 中,我们检查请求,在 auth 标头中寻找预期的令牌,目前代码非常难看,但可以将其放入自定义属性中;
public HttpResponseMessage Post([FromBody]TheThing message)
{
var authenticationHeader = Request.Headers.Authorization;
var token = Encoding.UTF8.GetString(Convert.FromBase64String(authenticationHeader.Parameter));
if (authenticationHeader.Scheme != "Token" || token != "TOKEN FROM CONFIG")
{
return Request.CreateErrorResponse(HttpStatusCode.Unauthorized, "No, no, no. That's naughty!");
}
// All OK, carry on.
因此,通过这种方式,WebJob 调用对等网站上的 Web API,并通过传递安全保存在 Azure 配置中的令牌来实现安全性,站点和作业都可以访问此令牌。
有更好的想法吗?