ApiCenterMinimalPermissionsPlugin
Verifica se o aplicativo usa permissões mínimas para chamar APIs. Usa informações de API da instância especificada do Centro de API do Azure.
Definição de instância de plug-in
{
"name": "ApiCenterMinimalPermissionsPlugin",
"enabled": true,
"pluginPath": "~appFolder/plugins/dev-proxy-plugins.dll",
"configSection": "apiCenterMinimalPermissionsPlugin"
}
Exemplo de configuração
{
"apiCenterMinimalPermissionsPlugin": {
"subscriptionId": "aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e",
"resourceGroupName": "resource-group-name",
"serviceName": "apic-instance",
"workspaceName": "default"
}
}
Propriedades de configuração
Property | Description | Predefinido |
---|---|---|
resourceGroupName |
Nome do grupo de recursos onde o Centro de API do Azure está localizado. | Nenhuma |
serviceName |
Nome da instância do Centro de API do Azure que o Proxy de Desenvolvimento deve usar para verificar se as APIs usadas no aplicativo estão registradas. | Nenhuma |
subscriptionId |
ID da assinatura do Azure onde a instância do Centro de API do Azure está localizada. | Nenhuma |
workspace |
Nome do espaço de trabalho do Centro de API do Azure a ser usado. | default |
Opções de linha de comando
Nenhuma
Observações
O ApiCenterMinimalPermissionsPlugin
plug-in verifica se o aplicativo usa permissões mínimas para chamar APIs. Para verificar permissões, o plug-in usa informações sobre APIs registradas na instância especificada do Centro de API do Azure.
Conectar-se à Central de APIs do Azure
Para se conectar ao Centro de API do Azure, o plug-in usa credenciais do Azure (nesta ordem):
- Environment
- Identidade da carga de trabalho
- Identidade Gerida
- Visual Studio
- Visual Studio Code
- CLI do Azure
- Azure PowerShell
- Azure Developer CLI
Se o plug-in não conseguir obter um token de acesso para acessar o Azure, ele mostrará um erro e o Proxy de Desenvolvimento o desativará. Entre no Azure usando qualquer uma dessas ferramentas e reinicie o Proxy de Desenvolvimento para usar o ApiCenterMinimalPermissionsPlugin
plug-in.
Se você usar o Proxy de Desenvolvimento em pipelines de CI/CD, poderá passar valores para as propriedades , resourceGroupName
, serviceName
e como workspaceName
variáveis de subscriptionId
ambiente. Para usar variáveis de ambiente, insira o nome do valor com um @
, por exemplo:
{
"apiCenterMinimalPermissionsPlugin": {
"subscriptionId": "@AZURE_SUBSCRIPTION_ID",
"resourceGroupName": "@AZURE_RESOURCE_GROUP_NAME",
"serviceName": "@AZURE_APIC_INSTANCE_NAME",
"workspaceName": "@AZURE_APIC_WORKSPACE_NAME"
}
}
Neste exemplo, o ApiCenterMinimalPermissionsPlugin
plug-in define subscriptionId
, resourceGroupName
, serviceName
e workspaceName
propriedades para os valores das AZURE_SUBSCRIPTION_ID
variáveis , AZURE_RESOURCE_GROUP_NAME
, AZURE_APIC_INSTANCE_NAME
, e AZURE_APIC_WORKSPACE_NAME
ambiente, respectivamente.
Definir permissões de API
O ApiCenterMinimalPermissionsPlugin
plug-in dá suporte à verificação de permissões OAuth para APIs protegidas com OAuth registrado no Centro de API do Azure. O plug-in calcula as permissões mínimas necessárias para chamar as APIs usadas no aplicativo usando as informações do Centro de APIs. Em seguida, o plug-in compara as permissões usadas no token JSON Web Token (JWT) com os escopos mínimos necessários para as solicitações que o Dev Proxy registrou.
Para definir permissões para suas APIs, inclua-as na definição de OpenAPI de sua API. O exemplo a seguir mostra como definir permissões para uma API em uma definição OpenAPI:
{
"openapi": "3.0.1",
"info": {
"title": "Northwind API",
"description": "Northwind API",
"version": "v1.0"
},
"servers": [
{
"url": "https://api.northwind.com"
}
],
"components": {
"securitySchemes": {
"OAuth2": {
"type": "oauth2",
"flows": {
"authorizationCode": {
"authorizationUrl": "https://login.microsoftonline.com/common/oauth2/authorize",
"tokenUrl": "https://login.microsoftonline.com/common/oauth2/token",
"scopes": {
"customer.read": "Grants access to ready customer info",
"customer.readwrite": "Grants access to read and write customer info"
}
}
}
}
},
"schemas": {
"Customer": {
"type": "object",
// [...] trimmed for brevity
}
}
},
"paths": {
"/customers/{customers-id}": {
"description": "Provides operations to manage a customer",
"get": {
"summary": "Get customer by ID",
"operationId": "getCustomerById",
"security": [
{
"OAuth2": [
"customer.read"
]
},
{
"OAuth2": [
"customer.readwrite"
]
}
],
"responses": {
"200": {
"description": "OK",
"content": {
"application/json; charset=utf-8": {
"schema": {
"$ref": "#/components/schemas/Customer"
}
}
}
}
}
},
"patch": {
"summary": "Update customer by ID",
"operationId": "updateCustomerById",
"security": [
{
"OAuth2": [
"customer.readwrite"
]
}
],
"requestBody": {
"required": true,
"content": {
"application/json": {
"schema": {
"$ref": "#/components/schemas/Customer"
}
}
}
},
"responses": {
"204": {
"description": "No Content"
}
}
},
"parameters": [
{
"name": "customers-id",
"in": "path",
"required": true,
"schema": {
"type": "string"
}
}
]
}
},
"x-ms-generated-by": {
"toolName": "Dev Proxy",
"toolVersion": "0.19.0"
}
}
A parte relevante é a securitySchemes
seção onde você define os escopos OAuth que a API usa. Em seguida, para cada operação, você inclui os escopos necessários na security
seção .