在Vapor中使用API-Key

Question

我正在用Vapor开发一个简单的web。为了提供更多的背景，我是后端开发方面的新手。

API的使用者将是一个iOS应用程序。目前，我不需要用户注册使用该应用程序。我想保持这样的状态。

另一方面，我希望进行一些身份验证，以避免任何人使用我正在开发的API。

为了寻找信息，我找到了如何实现身份验证。但是我看到的例子是基于在后端为应用程序的每个用户创建用户。我不想做的事。我想像我们通常使用第三方api时一样使用api密钥。

如何使用Vapor进行“api-密钥身份验证”?？

或者，我是否应该创建一个唯一的用户/密码，由iOS应用程序(使用API)的所有用户共享，然后使用基本身份验证或令牌身份验证？

非常感谢!

卡洛斯

Answer 1

方法之一是创建一个假令牌，并使用TokenAuthenticationMiddleware或者更有可能使用自定义中间件来检查传入令牌。

但是，请注意，没有什么可以阻止任何人检查来自应用程序的流量来查看令牌，然后使用它访问您的API。

Answer 2

按照this和图书服务器端Vapor的一个示例(由Raywenderlich.com教程团队编写)，我创建了这个定制中间件来完成这项工作：

final class SecretMiddleware: Middleware {

let secret: String

init(secret: String) {
    self.secret = secret
}

func respond(to request: Request, chainingTo next: Responder) throws -> Future<Response> {

    guard let bearerAuthorization = request.http.headers.bearerAuthorization else {
        throw Abort(.unauthorized, reason: "Missing token")
    }

    guard bearerAuthorization.token == secret else {
        throw Abort(.unauthorized, reason: "Wrong token")
    }

    return try next.respond(to: request)
}
}
extension SecretMiddleware: ServiceType {

static func makeService(for worker: Container) throws -> SecretMiddleware {

    let secret: String
    switch worker.environment {
    case .development:
        secret = "foo"
    default:
        guard let envSecret = Environment.get("SECRET") else {
            let reason = "No SECRET set on environment."
            throw Abort(.internalServerError, reason: reason)
        }
        secret = envSecret
    }
    return SecretMiddleware(secret: secret)
}
}