ASP.NET Web API的版本化与安全性

使用Web API来构建Web 服务，是一件非常容易的事情。Web API使用Http协议， 具备良好的可访问性，尤其适于部署到internet. 

作为服务，就有一个版本化和安全的问题。 下面分两块说明。

1. 版本化

1) 最简单的方式，变更url

/api/accountv1

/api/accountv2

2) 利用url segment的方式

/api/v2/account

3) 利用request header

/api/account

api-version: 2

4) 使用content type

/api/account

Accept: application/vnd.haveibeenpwned+json; version=2.0

或者

Accept: application/vnd.haveibeenpwned.v2+json 

5) 使用url参数的方式

/api/account?version=2

一些知名公司采用的版本化方案：How are REST APIs versioned?

实现多种版本方式的API例子：https://haveibeenpwned.com/API/v2

在Asp.Net WebAPI  2.0 启用AttributeRouting,  结合自定义RouteAttribute和RouteConstraint，很容易实现版本化。

如果是WebAPI 1.0升级到2.0， 注意修改注册代码：

protected void Application_Start(){    // WARNING - Not compatible with attribute routing.    WebApiConfig.Register(GlobalConfiguration.Configuration);}

WebAPI 2.0中：

protected void Application_Start(){    // Pass a delegate to the Configure method.    GlobalConfiguration.Configure(WebApiConfig.Register);}

注册路由按照下面的顺序，

首先WebAPI

    public static class WebApiConfig    {        public static void Register(HttpConfiguration config)        {            // Attribute routing.            config.MapHttpAttributeRoutes();            // Convention-based routing.            config.Routes.MapHttpRoute(                name: "DefaultApi",                routeTemplate: "api/{controller}/{id}",                defaults: new { id = RouteParameter.Optional }            );        }    }

然后MVC

        public static void RegisterRoutes(RouteCollection routes)        {            // Ignore            routes.IgnoreRoute("{resource}.axd/{*pathInfo}");            // Attribute routing            routes.MapMvcAttributeRoutes();            // Convention-based routing.            routes.MapRoute(                name: "Default",                url: "{controller}/{action}/{id}",                defaults: new { controller = "Home", action = "Index", id = UrlParameter.Optional }            );        }

Global代码模板：

        protected void Application_Start()        {            AreaRegistration.RegisterAllAreas();            // WARNING - Not compatible with attribute routing.            //WebApiConfig.Register(GlobalConfiguration.Configuration);            // -> Pass a delegate to the Configure method.            GlobalConfiguration.Configure(WebApiConfig.Register);            FilterConfig.RegisterGlobalFilters(GlobalFilters.Filters);            RouteConfig.RegisterRoutes(RouteTable.Routes);            BundleConfig.RegisterBundles(BundleTable.Bundles);            // WebAPI remove xml formater            GlobalConfiguration.Configuration.Formatters.XmlFormatter.SupportedMediaTypes.Clear();        }

Debug结果

参考资料

1) Achieving versioning with Web API in ASP.NET MVC (使用url segment, 通过不同名称的Controller实现)

2) Looking at ASP.NET MVC 5.1 and Web API 2.1 - Part 2 - Attribute Routing with Custom Constraints (使用AttributeRouting定制路由)

3) Web API 版本化的介绍 (后端实现自定义Controller选择器，从request header, content type等地方获取版本信息，然后实例化特定controller)

4) Attribute Routing in ASP.NET MVC 5

5) Attribute Routing in ASP.NET Web API 2

2. 安全性

安全性涉及范围特别广泛， 这里要说的是Web API的合法调用。为了考虑各种客户端的调用，采用的实现方案如下：

1) 调用端需要集中注册，获取AppId和密钥

2) 客户端调用的时候，需要采用约定的加密算法，根据AppId, 时间，随机数等，算出一个token, 添加到http header中

3) 服务器收到请求后，解密token, 并检查是否访问是否过期

其它的安全性措施包括：

1）建议client的调用从服务器端发起。如果要从js端发起，则需要预先token，并且设置较短的过期时间

2)  传输的安全性使用Https

3)  API提供端可以通过Filter机制，强制访问使用https, 并且可配置限定IP才能访问

参考资料

1) Web API 入门指南 - 闲话安全

2) Making your ASP.NET Web API’s secure

其它关于Web API的参考资料：

1) Detailed Tutorial for Building ASP.Net Web API RESTful Service (中文翻译)

2) ASP.NET Web API 2 is out! Overview of features

3) Enabling Cross-Origin Requests in ASP.NET Web API 2