# WebAPI with .NET core 3.1

Współczesne aplikacji Internetowe cechuje wiele warstw i technologi w ramach, których pracują. Zrozumienie jak działają serwisy internetowe wymaga znajomości wielu powiązanych ze sobą technologi. Najważniejsze z nich zostaną pokrótce opisane.

Protokół HTTP (*Hypertext Transfer Protocol*) jest protokołem aplikacyjnym, który opisuje sposób przekazywania informacji (żądania), tak aby był zrozumiałe dla serwera i formatu informacji zwrotnych z serwera do klienta. Dodatkowo jest bezstanowy, co oznacza, że żądanie musi zawierać komplet informacji do jego obsługi. Za fizyczne przekazywanie danych i ich poprawność odpowiada protokół *TCP/IP*. Żądanie *HTTP* składa się z *verbose* (operacji), *nagłówka* i *ciała*. Aktualnie są 3 wersje protokołu *HTTP*, ale są one kompatybilne ze sobą i zwykle sam protokół jest transparetny dla programisty *Web API*.
*HTTPS* z kolei oznacza tutaj pełny protokół *HTTP* z dodatkowym szyfrowaniem i użyciem algorytmu RSA. W zależności od złożoności klucza i dodatkowych zabezpieczeń wyróżnia się *TLS 1.1*, *TLS 1.2*, *TLS 1.3*. Użycie konkretnych par kluczy oraz algorytmu to tzw. *Hand shake*.

## Verbose

W HTTP 1.1 istnieje 9 różnych operacji na zasobie, gdzie pojęcie zasobu jest bardzo ogólne, może to być strona Internetowa, wiersz w bazie danych czy pewna logiczna operacja. Są to: `GET`, `HEAD`, `POST`, `PUT`, `DELETE`, `TRACE`, `OPTIONS`, `CONNECT`, `PATCH`. Niektóre z nich zostaną omówione później.

## Header

Nagłówek w żądaniu określa dodatkowe parametry dla serwera np. format ciała wiadomości (*Content-Type*). Lista pól oprócz ogólnodostępnych może być rozszerzona o własne. Przykładowe żądanie może zawierać następujący nagłówek:

* **Host**: en.wikipedia.org
* **User-Agent**: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:87.0) Gecko/20100101 Firefox/87.0
* **Accept**: application/json; charset=utf-8; profile="https://www.mediawiki.org/wiki/Specs/Summary/1.2.0"
* **Accept-Language**: en
* **Accept-Encoding**: gzip, deflate, br
* **Referer**: https://en.wikipedia.org/
* **X-Requested-With**: XMLHttpRequest
* **Connection**: keep-alive
* **Pragma**: no-cache
* **Cache-Control**: no-cache
* **TE**: Trailers

## Body

Zawiera konkretne informacje, które serwer ma obsłużyć. Może być w różnym formacie. Najpopularniejszymi formatami są:
* *JavaScript Object Notation (**JSON**)*
* *Extensible Markup Language (**XML**)*
* *Hypertext Markup Language (**HTML**)*
* *Yet Another Markup Language (**YAML**)*

Zawartość powinna być powiązana z polem *Content-Type* w nagłówku.

## Kody statusów

W celu weryfikacji poprawności samego żądania i jego obsługi w odpowiedzi dodawane jest pole status. Pierwsza cyfra kodu (najstarsza) decyduje o kategorii odpowiedzi. Poniżej znajduje się lista kodów i ich kategorii.

| Kategoria | Opis | Przykład |
|-----------|------|----------|
| 1XX | Informational | |
| 2XX | Successful | 200 - OK |
| 3XX | Redirection | 301 - Przeniesienie |
| 4XX | Client Error | 400 - Bad request, 401 - Unauthorized, 404 - Resource not found |
| 5XX | Server Error | 500 - Internal server error |          

## Przekazywanie danych

Są 3 miejsca, w których programista może przekazać dane:
1. header - najczęściej dane związane z obsługą żądania po stronie serwera np. autoryzacja, wszystkie dane w nagłówku są szyfrowane (*HTTPS*).
2. body - kontener na dane bez ograniczeń, wszystko jest szyfrowane, jeśli użyty jest (*HTTPS*).
3. query string - jako część *URL* do serwera np. `?param1=value1&param2=value2`, największą wadą jest brak szyfrowania.

## *Web API* and *REST*

Głównym założeniem budowania *Web API* (*Application Programming Interface*) jest tworzenie luźno połączonych ze sobą usług, które wymieniają ze sobą dane za pośrednictwem wybranego protokołu zwykle *HTTP/HTTPS*. Każda usługa powinna być bezstanowa, co oznacza, że żądanie wysłane z serwisu musi zostać obsłużone w ramach tego samego żądania (para request, response).

* Jedna usługa może zostać zdubkowowana i podłączona do tzw. routera, który rozdziela ruch między kolejne instancje usługi, co pozwala skalować rozwiązanie wszerz (skalowanie wzdłuż oznacza dokładanie zasobów do maszyny w ramach, której działa usługa). 

* Częstą praktyką jest groupowanie serwisów w tzw. API Gateway, które pozwala na łączenie wielu usług w ramach jednego konkretnego adresu, a dostęp do konkretnego serwisu możliwe jest w ramach konkretnego portu bądź poddomeny. Ma to szereg zalet m.in. łatwe monitorowanie ruchu oraz blokowanie ewentualnych prób złamania zabezpieczeń.

The *REST* (Representational state transfer) is a software architectural style which uses a subset of *HTTP*. Pozwala na unifikację dostępu do serwisu napisanego w dowolnym języku programowania. Architektura została zaproponowana przez Roy Fielding w 2000 roku dla tworzenia usług sieciowych. Dostęp do konkretnych informacji (zasobów) odbywa się za pomocą HTTP verbs `GET`, `POST`, `PUT`, `DELETE`. Każda z nich ma swoje specjalne znaczenie oraz co istotne nie zawierać pełnej implementacji specyfikacji *HTTP*.
 
* `GET` - pobieranie danych.
* `POST` - dodawanie nowych danych.
* `PUT` - aktualizacja istniejącego zasobu.
* `DELETE` - usuwanie danych.

Our API will follow the standard set of create, read, update, and delete (CRUD) operations common to most REST APIs, as described in the following table below.

| Metoda | Posiada nagłówek | Posiada ciało |
|---|---|---|
| `GET` | Yes | No |
| `POST` | Yes | Yes |
| `PUT` | Yes | Yes |
| `DELETE` | Yes | Yes |

### Design of the API

Dość istotnym elementem serwisów *REST* jest projektowanie ich *URI*. Przykładowym zestawem operacje dla zbioru danych osób może być:

| Metoda | *URI* | Opis |
|---|---|---|
| `GET` | http://localhost/api/v1/people | Zwraca listę wszystkich osób (zwykle wynik ograniczony domyślnym parametrem "limit" ) |
| `GET` | http://localhost/api/v1/people?surname=test | Zwraca listę osób o nazwisku "test" |
| `GET` | http://localhost/api/v1/people/123 | Zwraca dane osoby o id 123 |
| `GET` | http://localhost/api/v1/it/people | Zwraca dane osoby z działy "IT" |

Sposób organizacji *API* jest zależy jedynie od programisty. Niezwykle istotnym aspektem organizacji projektu jest wersjonowanie *API*. Działające serwisy muszą mieć możliwość działania na poprzednim *API* zanim zostaną zaktualizowane. Powyższy przykład prezentował jedną z opcji (każdy url zawierał prefix "api/v1"). Najczęstszymi opcjami są:

* za pomocą uri np. /api/v2/Customer
* query string np. api/customer?v=2.0
* headers np. x-version 2.0

## Budowanie aplikacji

W języku C#, kod zorganizowany jest w ramach projektu. Wynikiem kompilacji projektu jest plik wykonywalny lub biblioteka *dll*, którą można zaimportować w innym projekcie. W większych systemach, projektów może być wiele, dlatego agreguje się je w ramach jednej solucji. Na potrzeby zajeć będziemy używać *CLI* `dotnet` (.NET platform is required). Początkowo platforma była dostępna głównie dla systemu Windows pod nazwą *.NET Framework*. Konteneryzacja i ogromny postęp związany z przetwarzaniem danych w chmurze spowodował, że firma Microsoft była zmuszona do zmiany podejścia i stworzenia frameworka międzyplatformowego. W ten sposób narodził się .NET Core, który początkowo zawierał jedynie podzbiór możliwości klasycznego .NET Framework. Nazewnictwo może na początku być trochę mylące. Firma Microsoft postanowiła scalić swój ekosystem do jednego pełnego Framework, który działa pod kontrolą dowolnego systemu operacyjnego. Rysunek przedstawia poglądowe połączenie obu środowisk.

<center>
<img src='data:image/svg+xml;;base64,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' />
</center>

Przed scaleniem oba Framework posiadały podobne technologie. Miało to przełożenie na budowanie aplikacji webowych, ASP.NET jest przeznaczone do działania w systemie Windows Server i hostowania w ramach usługi *IIS*, z kolei ASP.NET Core do hostowania na dowolnym serwerze lub kontenerze również pod kontrolą systemu Linux. Tą ostatnią będziemy zajmować się w ramach laboratorium.

Aby rozpocząć, należy stworzyć folder i otworzyć go w *Visual Studio Code*. W celu stworzenia solucji należy uruchomić w terminalu folderu (`Terminal` -> `New Terminal` in VS Code Window):

`dotnet new sln -n WeatherForecast`

Komenda powinna stworzyć plik o nazwie `WeatherForecast.sln`, który zawiera ogólne informacje związane z budowaniem projektu i wszystkie referencje do projektów, które należy zbudować w ramach rozwiązania. Kolejna komenda pozwoli na stworzenie projektu *Web API*. Stworzenie takiego projektu dodając kolejne pliki z kodem źródłowym jest trudne ze względu na to, że jest duży narzut związany z konfiguracją po stronie .NET. Wynika to przede wszystkim stąd, że możliwości budowy serwisów jest bardzo dużo.

`dotnet new webapi -n WeatherForecastAPI`

Wykonanie komendy powinno spowodować dodanie projektu `WeatherForecastAPI` i utworzenie dla niego folderu. Listę wszystkich predefiniowanych projektów można znaleźć przy użyciu komendy:

`dotnet new`

Po utworzeniu projektu należy dodać go do rozwiązania komendą:

`dotnet sln WeatherForecast.sln add WeatherForecastAPI/WeatherForecastAPI.csproj`

Otwierając plik `WeatherForecast.sln` można zauważyć nowy dodany projekt.

Poniżej znajduje się opis najważniejszych plików i folderów w ramach projektu `WeatherForecastAPI` w folderze `WeatherForecastAPI`:

* Plik `WeatherForecastAPI.csproj` zawiera najważniejsze informacje potrzebne do kopilacji kod m.in. referencje do zewnętrznych bibliotek czy wymagany framework .NET i jego wersja. W naszym przykładzie `.net 5.0`. Jest to następca `.net core 3.1`, który działa jako *.NET Standard* i unifikuje klasycznego *.NET Framework* działającego jedynie pod kontrolą systemu Windows oraz *.NET Core* działającego na dowolną platformę.
* Plik `Program.cs` zawiera punkt wejścia do programu, który zostanie wywołany w momencie uruchomienia.
* Plik `Startup.cs` zawiera pełną konfigurację związaną ze sposobem autoryzacji w aplikacji webowej itd. 
* Plik `WeatherForecast.cs` w przykładzie dostarczonym razem z platformą *.NET Framework 5* zawiera podstawowe klasy będące kontenerem na dane.
* Plik `Properties\launchSettings.json` określa sposób w jaki będzie kompilowany i uruchomiony projekt (po naciśnięciu klawisza `F5`).
* Foldery `bin` i `obj`, znajdują się w nich pliki potrzebne do zbudowania i uruchomienia solucji. Są one tworzone w momencie budowania projektu.
* Folder `Controllers` przechowuje pliki tzw. kontrolerów, które zawierają obsługę konkretnych ścieżek w ramach *URL*.
* Plik `Controllers\WeatherForecastController.cs` przykładowy, działający kod kontrolera, dzięki któremu łatwo zbudować analogiczny kontroler dla swoich potrzeb.

Pliki `Program.cs` i `Startup` rzadko są modyfikowane w przeciwieństwie do samych kontrolerów. Plik `WeatherForecast.cs` zawiera następujący kod.

In [1]:
using System;

namespace WeatherForecastAPI
{
    public class WeatherForecast
    {
        public DateTime Date { get; set; }

        public int TemperatureC { get; set; }

        public int TemperatureF => 32 + (int)(TemperatureC / 0.5556);

        public string Summary { get; set; }
    }
}

Jest to przykład klasy typu *DTO* (*Data Transfer Objects*), nie zawierającej żadnych funkcji, a jedynie stanowiącej kontener na dane. Tworząc własne klasy, warto pamiętać o konfliktach nazw. Domyślnie klasa `WeatherForecast` znajduje się w głównym namespace `WeatherForecastAPI`, co umożliwia odwołanie się do niej w kontrolerze bez konieczności importowania w sekcji **`using`** nowego namespace. Kolejnym plikiem jest plik kontrolera `WeatherForecastController` znajdujący się w folderze `Controllers`.

In [1]:
using System;
using System.Collections.Generic;
using System.Linq;
using System.Threading.Tasks;
using Microsoft.AspNetCore.Mvc;
using Microsoft.Extensions.Logging;

namespace WeatherForecastAPI.Controllers
{
    [ApiController]
    [Route("[controller]")]
    public class WeatherForecastController : ControllerBase
    {
        private static readonly string[] Summaries = new[]
        {
            "Freezing", "Bracing", "Chilly", "Cool", "Mild", "Warm", "Balmy", "Hot", "Sweltering", "Scorching"
        };

        private readonly ILogger<WeatherForecastController> _logger;

        public WeatherForecastController(ILogger<WeatherForecastController> logger)
        {
            _logger = logger;
        }

        [HttpGet]
        public IEnumerable<WeatherForecast> Get()
        {
            var rng = new Random();
            return Enumerable.Range(1, 5).Select(index => new WeatherForecast
            {
                Date = DateTime.Now.AddDays(index),
                TemperatureC = rng.Next(-20, 55),
                Summary = Summaries[rng.Next(Summaries.Length)]
            })
            .ToArray();
        }
    }
}

W nawiasach kwadratowych znajdują się atrybuty, które pozwalają na dodatkową konfigurację typu. Mechanizm refleksji umożliwia odczytanie tych wartości w czasie działania programu. Dodanie atrybutu `ApiController` pozwala oznaczyć klasę jako typu, który serwuje obsługę żądań. Linijka `services.AddControllers();` w pliku `WeatherForecastAPI\Startup.cs` przeszukuje cały projekt w poszukiwania klas z tym właśnie atrybutem i każdą znalezioną klasę rejestruje w obsługiwanych ścieżkach. Ze względu, że nie określono specyficznej wartości ścieżki dla klasy, domyślnie nazwa klasy będzie ścieżką. W tym przypadku `WeatherForecast`. Funkcja `Get` zawiera kod obsługi żądania *verb* `GET` z powodu zastosowanego atrybutu `HttpGet`. Innymi opcjami są `HttpPost`, `HttpPut` lub `HttpDelete` i co ważne, jedna funkcja może zawierać wiele atrybutów. Co więcej sam *.NET Core* w zależności od nagłówka żądania *HTTP* serializuje kolekcje do wymaganego formatu np. `JSON`.

W celu uruchomienia aplikacji webowej należy wykonać komendę w folderze `WeatherForecastAPI`:

dotnet build
dotnet run

Pierwsza z nich zbuduje projekt, druga uruchomi usługę. 

## Swagger

W pliku `WeatherForecastAPI\Startup.cs` znajduje się wywołanie funkcji `services.AddSwaggerGen()`, która na postawie znalezionych kontrolerów tworzy pliki konfiguracyjny oraz stronę, na której można zobaczyć wszystkie zarejestrowane metody i routes. W standardowej konfiguracji strona jest serwowana pod adresem: https://localhost:5001/swagger/index.html. Klikają na *Try it out* można wygenerować dane wejściowe do metody i sprawdzić wynik.

### Model i walidacja

ASP.NET Core posiada wbudowany mechanizm walidacji danych przed ich przekazaniem do funkcji obsługującej żądanie. W tym celu należy zaimportować odpowiednią bibliotekę. Należy dodać referencję w projekcie.

`dotnet add package System.ComponentModel.Annotations`

Przykładową walidację przedstawia poniższy kod.

In [1]:
using System;
using System.ComponentModel.DataAnnotations;

namespace WeatherForecastAPI
{
    public class WeatherForecast
    {
        [Required]
        public DateTime Date { get; set; }
        
        [Range(-273, int.MaxValue)]
        public int TemperatureC { get; set; }

        [Range(-460, int.MaxValue)]
        public int TemperatureF => 32 + (int)(TemperatureC / 0.5556);

        [MaxLength(250)]
        public string Summary { get; set; }
    }
}


Więcej walidatów można znaleźć w: https://docs.microsoft.com/en-us/dotnet/api/system.componentmodel.dataannotations?view=net-5.0

Dodatkowo warto zauważyć, że walidacja została odzwierciedlona na stronie *Swagger* (Schemas).

## Parametry wejściowe

W przykładzie nie ma żadnych funkcji, które umożliwiają przekazywanie parametrów wejściowych. Przykładowy kod przedstawia przekazywanie parametrów przez *URL*.

In [1]:
using System;
using System.Collections.Generic;
using System.Linq;
using System.Threading.Tasks;
using Microsoft.AspNetCore.Mvc;
using Microsoft.Extensions.Logging;

namespace WeatherForecastAPI.Controllers
{
    [ApiController]
    [Route("[controller]")]
    public class WeatherForecastController : ControllerBase
    {
        private static readonly string[] Summaries = new[]
        {
            "Freezing", "Bracing", "Chilly", "Cool", "Mild", "Warm", "Balmy", "Hot", "Sweltering", "Scorching"
        };

        private readonly ILogger<WeatherForecastController> _logger;

        public WeatherForecastController(ILogger<WeatherForecastController> logger)
        {
            _logger = logger;
        }

        [HttpGet]        
        public IEnumerable<WeatherForecast> Get()
        {
            var rng = new Random();
            return Enumerable.Range(1, 5).Select(index => new WeatherForecast
            {
                Date = DateTime.Now.AddDays(index),
                TemperatureC = rng.Next(-20, 55),
                Summary = Summaries[rng.Next(Summaries.Length)]
            })
            .ToArray();
        }

        [HttpGet("city")]        
        public IEnumerable<WeatherForecast> Get(string city)
        {
            var rng = new Random();
            return Enumerable.Range(1, 5).Select(index => new WeatherForecast
            {                
                Date = DateTime.Now.AddDays(index),
                TemperatureC = rng.Next(-20, 55),
                Summary = $"{city} is {Summaries[rng.Next(Summaries.Length)]}"
            })
            .ToArray();
        }
    }
}

W przypadku przekazywania parametrów przez body wiadomości należy zrobić dwie zmiany. Pierwszą jest zdefiniowanie *DTO* dla obiektu, drugą dodanie odpowiedniej metody *HTTP*. Klasa *DTO* może mieć postać.

In [1]:
using System;
using System.ComponentModel.DataAnnotations;

namespace WeatherForecastAPI
{
    public class WeatherForecastPost
    {
        [Required]
        public DateTime Date { get; set; }
        
        [Range(-273, int.MaxValue)]
        public int TemperatureC { get; set; }    

        [Required]
        [StringLength(64)]
        public string City { get; set; }    
    }
}


Zakładamy, że jest jakiś panel administracyjny, gdzie wprowadzane są dane dotyczące pogody dla konkretnego miasta. Następnie należy dodać funkcje do obsługi żądania typu `POST`. Przykładem może być poniższy kod.

In [1]:
using System;
using System.Collections.Generic;
using System.Linq;
using System.Threading.Tasks;
using Microsoft.AspNetCore.Mvc;
using Microsoft.Extensions.Logging;

namespace WeatherForecastAPI.Controllers
{
    [ApiController]
    [Route("[controller]")]
    public class WeatherForecastController : ControllerBase
    {
        private static readonly string[] Summaries = new[]
        {
            "Freezing", "Bracing", "Chilly", "Cool", "Mild", "Warm", "Balmy", "Hot", "Sweltering", "Scorching"
        };

        private readonly ILogger<WeatherForecastController> _logger;

        public WeatherForecastController(ILogger<WeatherForecastController> logger)
        {
            _logger = logger;
        }

        [HttpGet]        
        public IEnumerable<WeatherForecast> Get()
        {
            var rng = new Random();
            return Enumerable.Range(1, 5).Select(index => new WeatherForecast
            {
                Date = DateTime.Now.AddDays(index),
                TemperatureC = rng.Next(-20, 55),
                Summary = Summaries[rng.Next(Summaries.Length)]
            })
            .ToArray();
        }

        [HttpGet("city")]        
        public IEnumerable<WeatherForecast> Get(string city)
        {
            var rng = new Random();
            return Enumerable.Range(1, 5).Select(index => new WeatherForecast
            {                
                Date = DateTime.Now.AddDays(index),
                TemperatureC = rng.Next(-20, 55),
                Summary = $"{city} is {Summaries[rng.Next(Summaries.Length)]}"
            })
            .ToArray();
        }

        [HttpPost]        
        public string Post(WeatherForecastPost weatherForecastPost)
        {
            Console.WriteLine($"{weatherForecastPost.Date}");
            Console.WriteLine($"{weatherForecastPost.City}");
            Console.WriteLine($"{weatherForecastPost.TemperatureC}");
            return "OK";
        }
    }
}


W stosunku do poprzedniej wersji kontrolera, dodana została funkcja `Post` do której przekazywany jest obiekt mapowany na podstawie ciała żądania *HTTP*.

## *JWT token*

Autoryzacja to jedno z podstawowych metod zabezpieczania *API*. Dość powszechnych sposobem autoryzacji użytkownika jest generowanie tokenów *JWT* (*JSON Web Tokens*). Całość polega na tym, że klient używa niezaszyfrowanego tokena (zakodowanego jako `Base64`), który zawiera podpis. Za każdym razem, gdy klient wysyła token weryfikowany jest jego podpis (czy pasuje on do przesłanej treści wiadomości, co sprowadza się do wygenerowania *hasha* z treści wiadomości i wygenerowania podpisu i porównaniu go z tym co przyszło w treści żądania). Każda próba modyfikacji treści tokena zmienia podpis, co sprawia, że nie będzie on pasował. Daje to pewność, że token został wygenerowany za pomocą chronionego klucza. Jedynie serwer posiada klucz za pomocą, którego można podpisać wiadomość (JWT Token). Ten prosty mechanizm powoduje, że same tokeny nie muszą być szyfrowane, a kryptografia i złożoność kombinacji klucza sprawia, że jest on bezpieczny.

Podstawową konfiguracją po stronie klienta są pola:
1. Key - klucz do podpisywania wiadomości.
2. Issuer - identyfikator aplikacji, systemu lub serwera.
3. Audience - dla kogo jest przeznaczony token.
4. Subject - pole przechowujące identyfikator użytkownika.

Konfiguracja powinna być zapisana w pliku `WeatherForecastAPI\appsettings.json`, który zawiera globalną konfigurację. Przykładowy plik znajduje się poniżej.

In [1]:
{
    "Logging": {
      "LogLevel": {
        "Default": "Debug",
        "Microsoft": "Debug",
        "Microsoft.Hosting.Lifetime": "Debug"
      }
    },
    "AllowedHosts": "*",
    "ApiKey": "karvzxtoajkcxnoaeg7nc20tiyrzu0vp",
    "Jwt": {
      "Key": "mJKypkVc9MAdMFPm8KqrC95hSvDE7apfYBtD9ez6SM3tqzuW5EVZpD7EyLBrRZ2F",
      "issuer": "WeatherForecastServer",
      "Audience": "WeatherForecastAdminApp",
      "Subject": "WeatherForecastToken"
    }
  }  

Mając konfigurację należy wygenerować przykładowy token. Można to zrobić na wiele sposobów. Jednym z nich jest wygenerowanie kodu na podstawie konfiguracji ze strony *online* do generowania tokenów (jedynie do celów edukacyjnych). Kod w niezakodowanej postaci podany jest poniżej.

In [1]:
{
    "iss": "WeatherForecastServer",
    "iat": 1618531594,
    "exp": 1650067594,
    "aud": "WeatherForecastAdminApp",
    "sub": "WeatherForecastToken",
    "ApiKey": "karvzxtoajkcxnoaeg7nc20tiyrzu0vp"
}

Pole `ApiKey` będzie przechowywać klucz. Wygenerowany (zakodowany) token ma podstać (jeden ciąg znaków bez białych znaków):

`eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJXZWF0aGVyRm9yZWNhc3RTZXJ2ZXIiLCJpYXQiOjE2MTg1MzE1OTQsImV4cCI6MTY1MDA2NzU5NCwiYXVkIjoiV2VhdGhlckZvcmVjYXN0QWRtaW5BcHAiLCJzdWIiOiJXZWF0aGVyRm9yZWNhc3RUb2tlbiIsIkFwaUtleSI6ImthcnZ6eHRvYWprY3hub2FlZzduYzIwdGl5cnp1MHZwIn0.weBQB_LlhtYO4a5-20-bVgckSozXqcZqcIKtoGtlkQI`

Token ten należy przekazać w nagłówku żądania, gdzie nazwa pola to `Authentication`. Następnie należy dodać referencję do *JWT* komendą:

`dotnet add package Microsoft.AspNetCore.Authentication.JwtBearer`

Później należy dodać walidację przychodzącego tokena i zautentykować użytkownika.

In [1]:
using System;
using System.Collections.Generic;
using System.Linq;
using System.Threading.Tasks;
using Microsoft.AspNetCore.Builder;
using Microsoft.AspNetCore.Hosting;
using Microsoft.AspNetCore.HttpsPolicy;
using Microsoft.AspNetCore.Mvc;
using Microsoft.Extensions.Configuration;
using Microsoft.Extensions.DependencyInjection;
using Microsoft.Extensions.Hosting;
using Microsoft.Extensions.Logging;
using Microsoft.OpenApi.Models;

using Microsoft.AspNetCore.Authentication.JwtBearer;
using Microsoft.IdentityModel.Tokens;
using System.Text;
using Microsoft.AspNetCore.Http;
using System.IdentityModel.Tokens.Jwt;
using System.Security.Claims;
using System.Security.Principal;


namespace WeatherForecastAPI
{
    public class Startup
    {
        private static string ApiKeyTokenName = "Authentication";
        private static string ConfigApiKeyName = "ApiKey";
        public Startup(IConfiguration configuration)
        {
            Configuration = configuration;
        }

        public IConfiguration Configuration { get; }

        // This method gets called by the runtime. Use this method to add services to the container.
        public void ConfigureServices(IServiceCollection services)
        {                       
            services.AddControllers();

            services.AddSwaggerGen(c =>
            {                
                c.SwaggerDoc("v1", new OpenApiInfo { Title = "WeatherForecastAPI", Version = "v1" });

                c.AddSecurityDefinition("Bearer", new OpenApiSecurityScheme
                {
                    In = ParameterLocation.Header,
                    Name = ApiKeyTokenName,
                    Description = "Please insert JWT with Bearer into field"        
                });
                c.AddSecurityRequirement(new OpenApiSecurityRequirement {
                {
                    new OpenApiSecurityScheme
                    {
                        Reference = new OpenApiReference
                        {
                            Type = ReferenceType.SecurityScheme,
                            Id = "Bearer"
                        }
                    },
                    new string[] { }                    
                }});

                
            });
        }

        // This method gets called by the runtime. Use this method to configure the HTTP request pipeline.
        public void Configure(IApplicationBuilder app, IWebHostEnvironment env)
        {
            if (env.IsDevelopment())
            {
                app.UseDeveloperExceptionPage();
                app.UseSwagger();
                app.UseSwaggerUI(c => c.SwaggerEndpoint("/swagger/v1/swagger.json", "WeatherForecastAPI v1"));
            }

            app.UseHttpsRedirection();

            app.UseRouting();

            app.Use(async (context, next) =>
            {
                if (context.Request.Headers.TryGetValue(ApiKeyTokenName, out var extractedToken))
                {
                    try
                    {
                        var tokenHandler = new JwtSecurityTokenHandler();
                        var user = tokenHandler.ValidateToken(extractedToken, new TokenValidationParameters
                        {
                            ValidateIssuerSigningKey = true,
                            ValidateIssuer = true,
                            ValidateAudience = true,
                            ValidIssuer = Configuration["Jwt:Issuer"],
                            ValidAudience = Configuration["Jwt:Audience"],
                            IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(Configuration["Jwt:Key"]))
                        }, out var validatedToken);

                        var extractedApiKey = user.Claims.FirstOrDefault(c => c.Type == ConfigApiKeyName)?.Value;

                        var apiKey = Configuration[ConfigApiKeyName];                        

                        if (!apiKey.Equals(extractedApiKey))
                        {
                            await next.Invoke();
                            return;
                        }                            
                    }
                    catch
                    {                            
                    }                        
                } 

                context.Response.StatusCode = 401;                    
                await context.Response.WriteAsync("Api Key was not provided.");                    
            });

            app.UseAuthentication();

            app.UseAuthorization();

            app.UseEndpoints(endpoints =>
            {
                endpoints.MapControllers();
            });
        }
    }
}