チュートリアル: API に保護されたエンドポイントを実装する

このチュートリアルでは、ソース コードに認証要素を追加して API エンドポイントを保護する方法について説明します。 API エンドポイントを保護することで、承認されたユーザーだけがアクセスを許可されます。 認証されていない要求を使用して API をテストして、承認されていないユーザーへのアクセスが API で制限されることを確認できます。 Microsoft ID プラットフォームは、Microsoft.Identity.Web NuGet パッケージを使用することで API エンドポイントを保護する方法を提供します。 この記事では、次のことを行います。

• ソース コードに認証要素を実装する
• 表示する API の気象情報を追加する
• 認証されていない GET 要求で API をテストする

前提条件

• 「チュートリアル: 認証用の ASP.NET Core プロジェクトを作成して構成する」の前提条件と手順を完了していること。

承認を実装する

1. Program.cs ファイルを開き、内容を次のスニペットに置き換えます。

   using Microsoft.AspNetCore.Authentication.JwtBearer;
   using Microsoft.AspNetCore.Authorization;
   using Microsoft.Identity.Web;
   
   var builder = WebApplication.CreateBuilder(args);
   builder.Services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme)
           .AddMicrosoftIdentityWebApi(options =>
           {
               builder.Configuration.Bind("AzureAd", options);
               options.TokenValidationParameters.NameClaimType = "name";
           }, options => { builder.Configuration.Bind("AzureAd", options); });
   
       builder.Services.AddAuthorization(config =>
       {
           config.AddPolicy("AuthZPolicy", policyBuilder =>
               policyBuilder.Requirements.Add(new ScopeAuthorizationRequirement() { RequiredScopesConfigurationKey = $"AzureAd:Scopes" }));
       });
   
   // Add services to the container.
   builder.Services.AddRazorPages();
   
   var app = builder.Build();
   
   app.UseAuthentication();
   app.UseAuthorization();
   
   var weatherSummaries = new[]
       {
           "Freezing", "Bracing", "Chilly", "Cool", "Mild", "Warm", "Balmy", "Hot", "Sweltering", "Scorching"
       };
   
   app.MapGet("/weatherforecast", [Authorize(Policy = "AuthZPolicy")] () =>
       {
           var forecast = Enumerable.Range(1, 5).Select(index =>
               new WeatherForecast
               (
                   DateTime.Now.AddDays(index),
                   Random.Shared.Next(-20, 55),
                   weatherSummaries[Random.Shared.Next(weatherSummaries.Length)]
               ))
               .ToArray();
           return forecast;
       })
       .WithName("GetWeatherForecast");
   
   // Configure the HTTP request pipeline.
   if (!app.Environment.IsDevelopment())
   {
       app.UseExceptionHandler("/Error");
       // The default HSTS value is 30 days. You may want to change this for production scenarios, see https://aka.ms/aspnetcore-hsts.
       app.UseHsts();
   }
   
   app.UseHttpsRedirection();
   app.UseStaticFiles();
   
   app.UseRouting();
   
   app.UseAuthorization();
   
   app.MapRazorPages();
   
   app.Run();
   
   record WeatherForecast(DateTime Date, int TemperatureC, string? Summary)
   {
       public int TemperatureF => 32 + (int)(TemperatureC / 0.5556);
   } 
   

アプリケーションをテストする

Visual Studio

1. Visual Studio で、[デバッグなしで開始] を選択します。

Visual Studio Code

1. ターミナルで次の内容を入力して、アプリケーションを起動します。

   dotnet run
   

2. 次のような出力がターミナルに表示されるはずです。 これにより、アプリケーションは http://localhost:{port} で実行されていて、要求をリッスンしていることが確認されます。

   Building...
   info: Microsoft.Hosting.Lifetime[0]
       Now listening on: http://localhost:{port}
   info: Microsoft.Hosting.Lifetime[0]
       Application started. Press Ctrl+C to shut down.
   ...
   

Visual Studio for Mac

1. [Play the executing solution](実行中のソリューションを再生する) を選択してアプリケーションを起動します。

Note

Visual Studio for Mac は、Microsoft の モダン ライフサイクル ポリシーに従って、2024 年 8 月 31 日までに廃止される予定です。 Visual Studio for Mac 17.6 は 2024 年 8 月 31 日までサポートが継続され、セキュリティ問題や Apple からのプラットフォーム更新のためのサービス更新プログラムが提供されます。 詳細については、「Visual Studio for Mac の動作」を参照してください。

Web ページ http://localhost:{host} には、次の画像のような出力が表示されます。 これは、API が認証なしで呼び出されているためです。 承認された呼び出しを行うには、次の手順で保護された Web API にアクセスする方法についてのハウツー ガイドを参照してください。

次のステップ

方法: cURL を使用して API を呼び出す