Chuyển đến nội dung chính

Identity Server 4: Bảo vệ Web API bằng Access Token (Part 2)

Part 1: Tìm hiểu về Identity Server 4
Trong bài viết này, mình sẽ hướng dẫn các bạn cách xây dựng 1 web api đơn giản và validate 1 access token.

Cấu hình Server và Port

Bạn sẽ có 2 server:
  • Authorization Server: port 9999.
  • Web API Server: port 5000.
Đầu tiên, bạn cần đổi port Project IdentityServer4Demo thành 9999


Sau đó, bạn tạo new Project mới, chọn Web API


Sau đó, bạn đổi port project Web API sang port 5000

Cài đặt Access Token Validation

Nhấp phải vào project ProtectedApi, chọn Manage NuGet Packages…
Tìm kiếm package: IdentityServer4.AccessTokenValidation và cài đặt.
Mở file “Startup.cs”, bên trong hàm Configure(), thêm dòng code sau đây trước dòng “app.UseMvc();”:
app.UseIdentityServerAuthentication(new IdentityServerAuthenticationOptions
{
 Authority = "http://localhost:9999",
 ApiName= "customAPI",
 RequireHttpsMetadata = false
});
//add this line to show the ERROR STATUS CODES
app.UseStatusCodePages();

Làm sao để biết API Name?

API Name chính là API Resource. Khi bạn đăng nhập, bạn khai báo scope cần truy cập là gì, thì scope đó thuộc API Resource.

Authorize API

Mở file ValuesController, thêm attribute Authorize trước phương thức GET api/values/{id}.
[Route("api/[controller]")]
[Authorize]
public class ValuesController : Controller
{
 // GET api/values
 [HttpGet]
 public IEnumerable<string> Get()
 {
  return new string[] { "value1", "value2" };
 }

 // GET api/values/5
 [HttpGet("{id}")]
 public string Get(int id)
 {
  return "value";
 }

 // POST api/values
 [HttpPost]
 public void Post([FromBody]string value)
 {
 }

 // PUT api/values/5
 [HttpPut("{id}")]
 public void Put(int id, [FromBody]string value)
 {
 }

 // DELETE api/values/5
 [HttpDelete("{id}")]
 public void Delete(int id)
 {
 }
}

Trong solution này có 2 project: IdentityServer4Demo và ProtectedApi. Bạn phải chạy cả 2 projects này cùng một lúc.
Nhấp phải vào solution => Properties.
Nhấp chọn option Multiple startup project. Chọn Action cho 2 project đó bằng start.


Thiết lập như vậy là xong.
Bạn mở PostMan lên, gọi hàm /connect/token để lấy access token.
Sau đó thực hiện 2 request:
Api/values: không có attribute Authorize, bạn sẽ nhận được dữ liệu trả về.

Api/values/{id}: Trường hợp không có Access token, bạn sẽ nhận được lỗi 401 Unauthorized
Trường hợp có Access token, bạn sẽ nhận được data trả về
Download Sample: http://www.mediafire.com/file/g1y4d1d5514xno5
Chúc các bạn thành công!
Nhatkyhoctap's blog

Nhận xét

  1. https://vmsdurano.com/apiboilerplate-and-identityserver4-access-control-for-apis/

    Trả lờiXóa
  2. A good article to build a server to protect APIs: https://vmsdurano.com/apiboilerplate-and-identityserver4-access-control-for-apis/

    Trả lờiXóa
  3. Return access token: https://docs.identityserver.io/en/latest/quickstarts/1_client_credentials.html

    Trả lờiXóa

Đăng nhận xét

Bài đăng phổ biến từ blog này

[ASP.NET MVC] Authentication và Authorize

Một trong những vấn đề bảo mật cơ bản nhất là đảm bảo những người dùng hợp lệ truy cập vào hệ thống. ASP.NET đưa ra 2 khái niệm: Authentication và Authorize Authentication xác nhận bạn là ai. Ví dụ: Bạn có thể đăng nhập vào hệ thống bằng username và password hoặc bằng ssh. Authorization xác nhận những gì bạn có thể làm. Ví dụ: Bạn được phép truy cập vào website, đăng thông tin lên diễn đàn nhưng bạn không được phép truy cập vào trang mod và admin.

ASP.NET MVC: Cơ bản về Validation

Validation (chứng thực) là một tính năng quan trọng trong ASP.NET MVC và được phát triển trong một thời gian dài. Validation vắng mặt trong phiên bản đầu tiên của asp.net mvc và thật khó để tích hợp 1 framework validation của một bên thứ 3 vì không có khả năng mở rộng. ASP.NET MVC2 đã hỗ trợ framework validation do Microsoft phát triển, tên là Data Annotations. Và trong phiên bản 3, framework validation đã hỗ trợ tốt hơn việc xác thực phía máy khách, và đây là một xu hướng của việc phát triển ứng dụng web ngày nay.

Tổng hợp một số kiến thức lập trình về Amibroker

Giới thiệu về Amibroker Amibroker theo developer Tomasz Janeczko được xây dựng dựa trên ngôn ngữ C. Vì vậy bộ code Amibroker Formula Language sử dụng có syntax khá tương đồng với C, ví dụ như câu lệnh #include để import hay cách gói các object, hàm trong các block {} và kết thúc câu lệnh bằng dấu “;”. AFL trong Amibroker là ngôn ngữ xử lý mảng (an array processing language). Nó hoạt động dựa trên các mảng (các dòng/vector) số liệu, khá giống với cách hoạt động của spreadsheet trên excel.