Миграция в Swashbuckle.AspNetCore версии 5

Я пытаюсь перейти с версии 4.0.1 на 5.0.0-rc2 Swashbuckle в проекте.NET Core 3 Preview 5 Web API.

У меня есть компиляция проекта и работает пользовательский интерфейс Swagger, но я не могу заставить работать аутентификацию Bearer, что, по-моему, связано с неправильной настройкой безопасности нового формата.

Это мой старый код, который работал в версии 4:

c.AddSecurityDefinition("Bearer", new ApiKeyScheme
    Description = "JWT Authorization header using the Bearer scheme. \r\n\r\n Enter 'Bearer' [space] and then your token in the text input below.\r\n\r\nExample: \"Bearer 12345abcdef\"",
    Name = "Authorization",
    In = "header",
    Type = "apiKey"

var security = new Dictionary<string, IEnumerable<string>>
    {"Bearer", new string[] { }},


И вот что я изменил для v5:

c.AddSecurityDefinition("Bearer", new OpenApiSecurityScheme
    Description = "JWT Authorization header using the Bearer scheme. \r\n\r\n Enter 'Bearer' [space] and then your token in the text input below.\r\n\r\nExample: \"Bearer 12345abcdef\"",
    Name = "Authorization",
    In = ParameterLocation.Header,
    Type = SecuritySchemeType.ApiKey,
    Scheme = "tomsAuth"

c.AddSecurityRequirement(new OpenApiSecurityRequirement
        new OpenApiSecurityScheme
            Reference = new OpenApiReference {
                Type = ReferenceType.SecurityScheme,
                Id = "tomsAuth" }
        }, new List<string>() }

Я думаю, что моя проблема, вероятно, в этой части кода:

        new OpenApiSecurityScheme
            Reference = new OpenApiReference {
                Type = ReferenceType.SecurityScheme,
                Id = "tomsAuth" }
        }, new List<string>() }

Я думаю, что в этой части должно быть где-то "Несущий", но я не уверен, где?

Дополнительная информация

Вот как я настраиваю аутентификацию JWT в первую очередь. Этот код не изменился и работал, когда я использовал Swashbuckle 4.0.1:

    var appSettings = appSettingsSection.Get<AppSettings>();
    var key = Encoding.ASCII.GetBytes(appSettings.Secret);

    services.AddAuthentication(x =>
        x.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme;
        x.DefaultChallengeScheme = JwtBearerDefaults.AuthenticationScheme;
    .AddJwtBearer(x =>
        x.Events = new JwtBearerEvents
            OnTokenValidated = context =>
                var userService = context.HttpContext.RequestServices.GetRequiredService<IApiUserService>();
                var userId = int.Parse(context.Principal.Identity.Name);
                var user = userService.GetById(userId);
                if (user == null)
                    // return unauthorized if user no longer exists

                return Task.CompletedTask;
        x.RequireHttpsMetadata = false;
        x.SaveToken = true;
        x.TokenValidationParameters = new TokenValidationParameters
            ValidateIssuerSigningKey = true,
            IssuerSigningKey = new SymmetricSecurityKey(key),
            ValidateIssuer = false,
            ValidateAudience = false

Получилось это работает в конце методом проб и ошибок. Это код, который работает для меня:

c.AddSecurityDefinition("Bearer", new OpenApiSecurityScheme
    Description =
        "JWT Authorization header using the Bearer scheme. \r\n\r\n Enter 'Bearer' [space] and then your token in the text input below.\r\n\r\nExample: \"Bearer 12345abcdef\"",
    Name = "Authorization",
    In = ParameterLocation.Header,
    Type = SecuritySchemeType.ApiKey,
    Scheme = "Bearer"

c.AddSecurityRequirement(new OpenApiSecurityRequirement()
        new OpenApiSecurityScheme
            Reference = new OpenApiReference
                Type = ReferenceType.SecurityScheme,
                Id = "Bearer"
            Scheme = "oauth2",
            Name = "Bearer",
            In = ParameterLocation.Header,

        new List<string>()

Я подозреваю, что там, вероятно, установлены свойства, которые на самом деле не должны быть установлены явно, но вышеупомянутое работает для меня.

OpenAPI 3.0 поставляется с аутентификацией Bearer, которая представляет собой схему безопасности с типом: http и scheme: bearer.

Таким образом, вместо использования схемы ключей API вам необходимо установить тип схемы безопасности на HTTP-аутентификацию, а затем определить имя схемы HTTP-авторизации, как определено в RFC7235. В данном случае "предъявитель".

После того, как вы определили схему безопасности, вы можете применить ее, добавив в качестве требования безопасности.

//First we define the security scheme
c.AddSecurityDefinition("Bearer", //Name the security scheme
    new OpenApiSecurityScheme{
    Description = "JWT Authorization header using the Bearer scheme.",
    Type = SecuritySchemeType.Http, //We set the scheme type to http since we're using bearer authentication
    Scheme = "bearer" //The name of the HTTP Authorization scheme to be used in the Authorization header. In this case "bearer".

c.AddSecurityRequirement(new OpenApiSecurityRequirement{ 
        new OpenApiSecurityScheme{
            Reference = new OpenApiReference{
                Id = "Bearer", //The name of the previously defined security scheme.
                Type = ReferenceType.SecurityScheme
        },new List<string>()

Эти ответы здорово помогли мне на этом пути. В моем случае мне всегда не хватало еще одной вещи - SwaggerUI не передавал выбранное имя / значение заголовка (X-API-KEY) моему обработчику аутентификации при декорировании действий / контроллеров с помощью[Authorize]. В моем проекте используются.NET Core 3.1 и Swashbuckle 5. Я создал собственный класс, наследующийIOperationFilter который использует Swashbuckle.AspNetCore.Filters nuget ниже, чтобы использовать их реализацию для oauth2.

// Startup.cs
// ...
services.AddSwaggerGen(options =>
  options.SwaggerDoc("v1", new OpenApiInfo { Title = nameof(BoardMinutes), Version = "v1" });

  // Adds authentication to the generated json which is also picked up by swagger.
  options.AddSecurityDefinition(ApiKeyAuthenticationOptions.DefaultScheme, new OpenApiSecurityScheme
      In = ParameterLocation.Header,
      Name = ApiKeyAuthenticationHandler.ApiKeyHeaderName,
      Type = SecuritySchemeType.ApiKey


Ключевыми компонентами являются options.AddSecurityDefinition() (У меня есть несколько открытых конечных точек, и я не хотел предоставлять глобальный фильтр), а также options.OperationFilter<ApiKeyOperationFilter>().

// ApiKeyOperationFilter.cs
// ...
internal class ApiKeyOperationFilter : IOperationFilter
    public void Apply(OpenApiOperation operation, OperationFilterContext context)
        // Piggy back off of SecurityRequirementsOperationFilter from Swashbuckle.AspNetCore.Filters which has oauth2 as the default security scheme.
        var filter = new SecurityRequirementsOperationFilter(securitySchemaName: ApiKeyAuthenticationOptions.DefaultScheme);
        filter.Apply(operation, context);

И напоследок - для полной картины вот обработчик аутентификации и параметры аутентификации.

// ApiKeyAuthenticationOptions.cs
// ... 
public class ApiKeyAuthenticationOptions : AuthenticationSchemeOptions
    public const string DefaultScheme = "API Key";
    public string Scheme => DefaultScheme;
    public string AuthenticationType = DefaultScheme;

// ApiKeyAuthenticationHandler.cs
// ...
internal class ApiKeyAuthenticationHandler : AuthenticationHandler<ApiKeyAuthenticationOptions>
    private const string ProblemDetailsContentType = "application/problem+json";
    public const string ApiKeyHeaderName = "X-Api-Key";

    private readonly IApiKeyService _apiKeyService;
    private readonly ProblemDetailsFactory _problemDetailsFactory;

    public ApiKeyAuthenticationHandler(
        IOptionsMonitor<ApiKeyAuthenticationOptions> options,
        ILoggerFactory logger,
        UrlEncoder encoder,
        ISystemClock clock,
        IApiKeyService apiKeyService,
        ProblemDetailsFactory problemDetailsFactory) : base(options, logger, encoder, clock)
        _apiKeyService = apiKeyService ?? throw new ArgumentNullException(nameof(apiKeyService));
        _problemDetailsFactory = problemDetailsFactory ?? throw new ArgumentNullException(nameof(problemDetailsFactory));

    protected override async Task<AuthenticateResult> HandleAuthenticateAsync()
        if (!Request.Headers.TryGetValue(ApiKeyHeaderName, out var apiKeyHeaderValues))
            return AuthenticateResult.NoResult();

        Guid.TryParse(apiKeyHeaderValues.FirstOrDefault(), out var apiKey);

        if (apiKeyHeaderValues.Count == 0 || apiKey == Guid.Empty)
            return AuthenticateResult.NoResult();

        var existingApiKey = await _apiKeyService.FindApiKeyAsync(apiKey);

        if (existingApiKey == null)
            return AuthenticateResult.Fail("Invalid API Key provided.");

        var claims = new List<Claim>
            new Claim(ClaimTypes.Name, existingApiKey.Owner)

        var identity = new ClaimsIdentity(claims, Options.AuthenticationType);
        var identities = new List<ClaimsIdentity> { identity };
        var principal = new ClaimsPrincipal(identities);
        var ticket = new AuthenticationTicket(principal, Options.Scheme);

        return AuthenticateResult.Success(ticket);

    protected override async Task HandleChallengeAsync(AuthenticationProperties properties)
        Response.StatusCode = StatusCodes.Status401Unauthorized;
        Response.ContentType = ProblemDetailsContentType;
        var problemDetails = _problemDetailsFactory.CreateProblemDetails(Request.HttpContext, StatusCodes.Status401Unauthorized, nameof(HttpStatusCode.Unauthorized),
            detail: "Bad API key.");

        await Response.WriteAsync(JsonSerializer.Serialize(problemDetails));

    protected override async Task HandleForbiddenAsync(AuthenticationProperties properties)
        Response.StatusCode = StatusCodes.Status403Forbidden;
        Response.ContentType = ProblemDetailsContentType;
        var problemDetails = _problemDetailsFactory.CreateProblemDetails(Request.HttpContext, StatusCodes.Status403Forbidden, nameof(HttpStatusCode.Forbidden),
            detail: "This API Key cannot access this resource.");

        await Response.WriteAsync(JsonSerializer.Serialize(problemDetails));

Найдя решение, я создал пример приложения Swagger-UI ASP.NET 6, в котором токен-носитель запрашивается у поставщика аутентификации при нажатии кнопки авторизации. См. https://github.com/inouiw/SwaggerUIJsonWebToken .

