Как настроить несколько схем безопасности в ASP.NET Core Swagger с помощью спецификации API NSwag

Как настроить несколько схем безопасности в ASP.NET Core Swagger с помощью спецификации API NSwag ⇐ C#

1 сообщение • Страница 1 из 1

Anonymous

Как настроить несколько схем безопасности в ASP.NET Core Swagger с помощью спецификации API NSwag

Цитата

Сообщение Anonymous » 17 ноя 2025, 20:53

У меня есть веб-API ASP.NET Core 8 со страницей Swagger, использующей Nswag + OpenAPI3. У меня также есть реализация безопасности OAuth2, которая отлично работает. Благодаря украшениям AspNetCoreOperationSecurityScopeProcessor и [AllowAnonymous] пользовательский интерфейс Swagger правильно обрабатывает смешанную (но двоичную) безопасность.
Однако у меня есть несколько «странных» конечных точек, которые возвращают смесь общедоступной и привилегированной информации. Если запрос конкретно запрашивает личную информацию, API выполняет проверку авторизации.
Например, примерно так:

Код: Выделить всё

[AllowAnonymous]
[HttpGet]
public ActionResult GetInfo(bool includePrivateInfo)
{
if (includePrivateInfo)
{
this.authorizationService.RequireLoggedIn();   // throws, resulting in a Forbid();
}

SomeDto result = dataService.GetInfo(includePrivate); //get some data

return result;
}

В клиентском приложении Javascript, которое использует это, я вызываю конечную точку и добавляю токен авторизации к запросу, если пользователь вошел в систему (что-то вроде конструкции «если у вас есть токен, отправьте его»). Если пользователь не вошел в систему, мы все равно вызываем ту же конечную точку. Я не хочу иметь две разные конечные точки в API, одну для аутентификации и одну для анонимности, так как это уменьшает размер клиентского кода.
Проблема в том, что я не могу заставить клиент Swagger дополнительно отправлять токен авторизации, пока AllowAnonymous находится в методе действия.
Вещи, которые я пробовал:

Если я добавлю [AllowAnonymous] в метод GetInfo(), тогда Swagger не отправит токен авторизации с запросом к этой конечной точке, даже если я авторизован.
Если я добавлю [Authorize] в GetInfo() (и удалю AllowAnonymous), то ASP.NET Core отклонит запрос, если вы не авторизованы в Swagger.
Я попробовал добавить беззубый [Authorize(Policy = "Optional")] к методу, а при запуске добавлены options.AddPolicy("Optional", policy => policy.RequireAssertion(context => true));, но ASP.NET Core умнее этого и по-прежнему проверяет, прошел ли пользователь проверку подлинности первым, на каком-то более низком уровне, поэтому для него по-прежнему требуется токен аутентификации.

Я нашел это актуальным вопрос/ответ, который, по-видимому, указывает на то, что то, что я хочу, возможно. Как мне реализовать несколько схем безопасности на конечной точке, используя генерацию спецификаций Swagger/NSwag, где одна анонимна?

Подробнее здесь: https://stackoverflow.com/questions/798 ... h-nswag-ap

1763402001

Anonymous

У меня есть веб-API ASP.NET Core 8 со страницей Swagger, использующей Nswag + OpenAPI3. У меня также есть реализация безопасности OAuth2, которая отлично работает. Благодаря украшениям AspNetCoreOperationSecurityScopeProcessor и [AllowAnonymous] пользовательский интерфейс Swagger правильно обрабатывает смешанную (но двоичную) безопасность.
Однако у меня есть несколько «странных» конечных точек, которые возвращают смесь общедоступной и привилегированной информации. Если запрос конкретно запрашивает личную информацию, API выполняет проверку авторизации.
Например, примерно так:
[code][AllowAnonymous]
[HttpGet]
public ActionResult GetInfo(bool includePrivateInfo)
{
if (includePrivateInfo)
{
this.authorizationService.RequireLoggedIn();   // throws, resulting in a Forbid();
}

SomeDto result = dataService.GetInfo(includePrivate); //get some data

return result;
}
[/code]
В клиентском приложении Javascript, которое использует это, я вызываю конечную точку и добавляю токен авторизации к запросу, если пользователь вошел в систему (что-то вроде конструкции «если у вас есть токен, отправьте его»). Если пользователь не вошел в систему, мы все равно вызываем ту же конечную точку. Я не хочу иметь две разные конечные точки в API, одну для аутентификации и одну для анонимности, так как это уменьшает размер клиентского кода.
Проблема в том, что я не могу заставить клиент Swagger дополнительно отправлять токен авторизации, пока AllowAnonymous находится в методе действия.
Вещи, которые я пробовал:
[list]
[*]Если я добавлю [AllowAnonymous] в метод GetInfo(), тогда Swagger не отправит токен авторизации с запросом к этой конечной точке, даже если я авторизован.
[*]Если я добавлю [Authorize] в GetInfo() (и удалю AllowAnonymous), то ASP.NET Core отклонит запрос, если вы не авторизованы в Swagger.
[*]Я попробовал добавить беззубый [Authorize(Policy = "Optional")] к методу, а при запуске добавлены options.AddPolicy("Optional", policy => policy.RequireAssertion(context => true));, но ASP.NET Core умнее этого и по-прежнему проверяет, прошел ли пользователь проверку подлинности первым, на каком-то более низком уровне, поэтому для него по-прежнему требуется токен аутентификации.
[/list]
Я нашел это актуальным вопрос/ответ, который, по-видимому, указывает на то, что то, что я хочу, возможно. Как мне реализовать несколько схем безопасности на конечной точке, используя генерацию спецификаций Swagger/NSwag, где одна анонимна? 

Подробнее здесь: [url]https://stackoverflow.com/questions/79820404/how-to-configure-multiple-security-schemes-in-asp-net-core-swagger-with-nswag-ap[/url]