如何将 JWT 不记名令牌添加到对 API 的所有请求

Question

我正在尝试组建一个使用 Asp.Net Core Identity、Identity Server 4 和 Web API 项目的小项目。

我的 MVC 项目使用 IdS4 正确进行身份验证，我从中获得了一个 JWT，然后我可以将它添加到我的 Web API 项目的请求的标头中，这一切都按预期工作。

我遇到的问题是我实际上是如何将令牌添加到HttpClient，基本上我为每个明显错误的请求设置它，否则我会在网上看到其他示例，但我没有无法确定重构它的好方法。我已经阅读了很多文章，但我发现关于这部分流程的信息很少，所以我猜测它可能非常简单，以至于指南中从未详细说明，但我仍然不知道！

这是一个调用我的 API 的示例 MVC 操作：

[HttpGet]
[Authorize]
public async Task<IActionResult> GetFromApi()
{
    var client = await GetHttpClient();
    string testUri = "https://localhost:44308/api/TestItems";
    var response = await client.GetAsync(testUri, HttpCompletionOption.ResponseHeadersRead);
    var data = await response.Content.ReadAsStringAsync();

    GetFromApiViewModel vm = new GetFromApiViewModel()
    {
        Output = data
    };
    return View(vm);
}

这是我调用的GetHttpClient() 方法（当前位于同一个控制器中）：

private async Task<HttpClient> GetHttpClient()
{
    var client = new HttpClient();
    var expat = HttpContext.GetTokenAsync("expires_at").Result;
    var dataExp = DateTime.Parse(expat, null, DateTimeStyles.RoundtripKind);
    if ((dataExp - DateTime.Now).TotalMinutes < 10)
    {
         //SNIP GETTING A NEW TOKEN IF ITS ABOUT TO EXPIRE
    }

    var accessToken = await HttpContext.GetTokenAsync("access_token");
    client.DefaultRequestHeaders.Authorization = new AuthenticationHeaderValue("Bearer", accessToken);

    return client;
}

我的StartUp 类在我收集的内容中非常标准，但如果它们有用，那么我会添加它们。

Answer 1

我已经阅读了很多文章，但我发现关于这部分流程的信息很少，所以我猜测它可能非常简单，以至于指南中从未详细说明，但我仍然不知道！

问题在于文档确实遍布各处，因此很难全面了解所有最佳实践。我正在计划一个关于“现代 HTTP API 客户端”的博客系列，它将收集所有这些最佳实践。

首先，我recommend you use HttpClientFactory rather than new-ing up an HttpClient。

接下来，IMO 最好通过连接到HttpClient 的消息处理程序管道来添加授权标头。一个基本的不记名令牌身份验证助手可能如下所示：

public sealed class BackendApiAuthenticationHttpClientHandler : DelegatingHandler
{
    private readonly IHttpContextAccessor _accessor;

    public BackendApiAuthenticationHttpClientHandler(IHttpContextAccessor accessor)
    {
        _accessor = accessor;
    }

    protected override async Task<HttpResponseMessage> SendAsync(HttpRequestMessage request, CancellationToken cancellationToken)
    {
        var expat = await _accessor.HttpContext.GetTokenAsync("expires_at");
        var dataExp = DateTime.Parse(expat, null, DateTimeStyles.RoundtripKind);
        if ((dataExp - DateTime.Now).TotalMinutes < 10)
        {
             //SNIP GETTING A NEW TOKEN IF ITS ABOUT TO EXPIRE
        }

        var token = await _accessor.HttpContext.GetTokenAsync("access_token");

        // Use the token to make the call.
        request.Headers.Authorization = new AuthenticationHeaderValue("Bearer", token);
        return await base.SendAsync(request, cancellationToken);
    }
}

这可以通过 DI 连接：

services.AddTransient<BackendApiAuthenticationHttpClientHandler>();
services.AddHttpClient<MyController>()
    .ConfigureHttpClient((provider, c) => c.BaseAddress = new Uri("https://localhost:44308/api"))
    .AddHttpMessageHandler<BackendApiAuthenticationHttpClientHandler>();

然后您可以将HttpClient 注入您的MyController，它会神奇地使用身份验证令牌：

// _client is an HttpClient, initialized in the constructor
string testUri = "TestItems";
var response = await _client.GetAsync(testUri, HttpCompletionOption.ResponseHeadersRead);
var data = await response.Content.ReadAsStringAsync();

GetFromApiViewModel vm = new GetFromApiViewModel()
{
    Output = data
};
return View(vm);

这个模式起初看起来很复杂，但是它将“我如何调用这个 API”逻辑与“这个动作在做什么”逻辑分开。并且通过 Polly 更容易扩展重试/断路器等。

Answer 2

您可以使用HttpRequestMessage

// Create this instance once on stratup 
// (preferably you want to keep an instance per base url to avoid waiting for socket fin)
HttpClient client = new HttpClient();

然后创建HttpRequestMessage的实例：

HttpRequestMessage request = new HttpRequestMessage(
  HttpMethod.Get, 
  "https://localhost:44308/api/TestItems");
request.Headers.Authorization = new AuthenticationHeaderValue("Bearer", "ey..");
await client.SendAsync(request);