Поделиться через

MinPermissionsGuidancePlugin

Сравнивает разрешения, используемые в маркере JWT, отправляемые API, с минимальными необходимыми областями, необходимыми для запросов, записанных прокси-сервером, и показывает разницу.

Снимок экрана: командная строка с проверкой прокси-сервера разработки, если записанные запросы API используют минимальные разрешения API маркеров.

Определение экземпляра подключаемого модуля

{
  "name": "MinimalPermissionsGuidancePlugin",
  "enabled": true,
  "pluginPath": "~appFolder/plugins/dev-proxy-plugins.dll",
  "configSection": "minimalPermissionsGuidancePlugin"
}

Пример конфигурации

{
  "minimalPermissionsGuidancePlugin": {
    "$schema": "https://raw.githubusercontent.com/dotnet/dev-proxy/main/schemas/v0.29.2/minimalpermissionsguidanceplugin.schema.json",
    "apiSpecsFolderPath": "./api-specs"
  }
}

Свойства конфигурации

Свойство Описание По умолч.
apiSpecsFolderPath Относительный или абсолютный путь к папке со спецификациями API Нет

Параметры командной строки

Нет

Замечания

Подключаемый MinimalPermissionsGuidancePlugin модуль проверяет, использует ли приложение минимальные разрешения для вызова API. Чтобы проверить разрешения, подключаемый модуль использует сведения о API, расположенных в указанной локальной папке.

Определение разрешений API

Подключаемый MinimalPermissionsGuidancePlugin модуль поддерживает проверку разрешений OAuth для API, защищенных с помощью OAuth. Подключаемый модуль вычисляет минимальные разрешения, необходимые для вызова API, используемых в приложении, с помощью сведений из указанных спецификаций API. Затем подключаемый модуль сравнивает разрешения, используемые в маркере веб-маркера JSON (JWT) с минимальными необходимыми областями, необходимыми для запросов, записанных прокси-сервером разработки.

Чтобы определить разрешения для API, включите их в определение OpenAPI API. В следующем примере показано, как определить разрешения для API в определении OpenAPI:

{
  "openapi": "3.0.1",
  "info": {
    "title": "Northwind API",
    "description": "Northwind API",
    "version": "v1.0"
  },
  "servers": [
    {
      "url": "https://api.northwind.com"
    }
  ],
  "components": {
    "securitySchemes": {
      "OAuth2": {
        "type": "oauth2",
        "flows": {
          "authorizationCode": {
            "authorizationUrl": "https://login.microsoftonline.com/common/oauth2/authorize",
            "tokenUrl": "https://login.microsoftonline.com/common/oauth2/token",
            "scopes": {
              "customer.read": "Grants access to ready customer info",
              "customer.readwrite": "Grants access to read and write customer info"
            }
          }
        }
      }
    },
    "schemas": {
      "Customer": {
        "type": "object",
        // [...] trimmed for brevity
      }
    }
  },
  "paths": {
    "/customers/{customers-id}": {
      "description": "Provides operations to manage a customer",
      "get": {
        "summary": "Get customer by ID",
        "operationId": "getCustomerById",
        "security": [
          {
            "OAuth2": [
              "customer.read"
            ]
          },
          {
            "OAuth2": [
              "customer.readwrite"
            ]
          }
        ],
        "responses": {
          "200": {
            "description": "OK",
            "content": {
              "application/json; charset=utf-8": {
                "schema": {
                  "$ref": "#/components/schemas/Customer"
                }
              }
            }
          }
        }
      },
      "patch": {
        "summary": "Update customer by ID",
        "operationId": "updateCustomerById",
        "security": [
          {
            "OAuth2": [
              "customer.readwrite"
            ]
          }
        ],
        "requestBody": {
          "required": true,
          "content": {
            "application/json": {
              "schema": {
                "$ref": "#/components/schemas/Customer"
              }
            }
          }
        },
        "responses": {
          "204": {
            "description": "No Content"
          }
        }
      },
      "parameters": [
        {
          "name": "customers-id",
          "in": "path",
          "required": true,
          "schema": {
            "type": "string"
          }
        }
      ]
    }
  },
  "x-ms-generated-by": {
    "toolName": "Dev Proxy",
    "toolVersion": "0.22.0"
  }
}

Соответствующая часть — это securitySchemes раздел, в котором определяются области OAuth, которые использует API. Затем для каждой операции необходимо включить необходимые области в security раздел.

Замена переменных в спецификациях API

Некоторые спецификации API могут содержать переменные в URL-адресах сервера. Использование переменных — это распространенная практика для размещения различных сред (например, разработки, промежуточного хранения, рабочей среды), версий API или клиентов. URL-адрес с переменной выглядит следующим образом:

openapi: 3.0.4
info:
  title: SharePoint REST API
  description: SharePoint REST API
  version: v1.0
servers:
  - url: https://{tenant}.sharepoint.com
    variables:
      tenant:
        default: contoso

Подключаемый MinimalPermissionsGuidancePlugin модуль поддерживает замену переменных в содержимом спецификаций API. Чтобы заменить переменную, запустите прокси разработки с параметром --env и укажите имя и значение переменной. Например, чтобы заменить tenant переменную contoso, используйте следующую команду:

devproxy --env tenant=northwind

Эта команда заменяет tenant переменную в спецификациях API значением northwind. Подключаемый модуль использует замененный URL-адрес, чтобы проверить, использует ли приложение минимальные разрешения для вызова API.

Дополнительные сведения