Discussion :

[GLDavid]

Bonjour

J'ai créé un service web qui est un OData endpoint.
Il fonctionne très bien MAIS, j'ai une contrainte: il faut que pour chaque requête, l'API vérifie la presence d'une clé dans le request header.
J'ai créé une method simple pour ce faire mais cela ne fonctionne pas pour la page service document à savoir ce que l'on obtient lorsqu'on entre l'URL https://SITE/api/v1:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
{"@odata.context":"http://SITE/api/v1/$metadata","value":[{"name":"trucs","kind":"EntitySet","url":"trucs"},{"name":"choses","kind":"EntitySet","url":"choses"}]}

Avez-vous une idée pour ce faire?
Merci d'avance de votre aide,

@++

[popo]

Tu peux créer une classe héritant de DelegatingHandler dans laquelle tu surcharges le SendAsync.
Dans le SendAsync , tu vérifie la présence de ton header et tu renvoie une réponse Unauthorized en cas d'absence.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
internal class MyMessageHandler : DelegatingHandler
    {
        protected override Task<HttpResponseMessage> SendAsync(HttpRequestMessage request, CancellationToken cancellationToken)
        {
 
            if (request?.Headers.Authorization != null)
            {
 
            }
            else // On a pas de Headers d'authentification
            {
                HttpResponseMessage httpResponseMessage = new HttpResponseMessage(HttpStatusCode.Unauthorized);
 
                httpResponseMessage.Headers.WwwAuthenticate.Add(new AuthenticationHeaderValue("Bearer"));
                httpResponseMessage.ReasonPhrase = "Authorization header not provided";
 
                return Task<HttpResponseMessage>.Factory.StartNew(() => httpResponseMessage);
            }
 
 
             return base.SendAsync(request, cancellationToken);
        }
    }

Il suffit ensuite de rajouter le message Handler à la config global

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
config.MapHttpAttributeRoutes();
config.MessageHandlers.Add(new MyMessageHandler());

[GLDavid]

Bonjour Popo

Je te remercie de ta réponse mais j'y ai répondu de manière différente finalement.
J'ai créé ce module et j'ai finalement la sécurité que je recherchais.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
 
using System;
using System.Linq;
using System.Web;
 
namespace Api.Modules
{
    public class AuthorizationModule : IHttpModule
    {
        public void Dispose(){}
 
        private void Context_Authorization(object sender, EventArgs e)
        {
            HttpApplication application = (HttpApplication)sender;
            if (!IsAuthorized(application.Context))
            {
                application.Context.Response.Status = "403 Forbidden";
                application.Context.Response.StatusCode = 403;
                application.CompleteRequest();
            }
        }
 
        public bool IsAuthorized(HttpContext context)
        {
            if (!HttpContext.Current.Request.Headers.AllKeys.Contains("Authorization"))
                return false;
 
            string authHeader = HttpContext.Current.Request.Headers["Authorization"];
 
            if (!authHeader.Equals(Properties.Resources.Authorization_Key))
            {
                return false;
            }
            return true;
        }
 
 
        public void Init(HttpApplication context)
        {
            context.AuthenticateRequest += new EventHandler(Context_Authorization);
        }
    }
}

Cela étant, je te plussoie volontiers ;-)

@++