两个问题:
当您定义一个新路由并希望通过要求在标头中设置 api_key 来保护它时,您是通过security在 yaml 文件中指定该路由下的一个部分来做到这一点,还是将它放在下面parameters(或两者中) ? 如果把它放在下面就可以了parameters,那么把它放在下面有什么意义security呢?
yaml 文件可以告诉您某些路由受 api_key 保护,但它没有指定该键的值(据我所知)。这是否意味着我需要编写一些自定义中间件来拦截我的路由并检查密钥的有效性,或者它可以由一个招摇工具自动生成?
谢谢。
我现在和你在同一个旅程。我知道这一点:
在我的 swagger.json 中添加什么来接受 api 密钥 https://github.com/OAI/OpenAPI-Specification/blob/master/versions/2.0.md#securityRequirementObject
“安全”:[{“api_key”:[]}]
在我的控制器中添加什么... https://github.com/apigee-127/swagger-tools/blob/master/docs/Middleware.md
几乎使用 swagger-tools 来使用 middleware.swaggerSecurity。
好吧,我发现它只是采用保存实际密钥的“范围”参数,并将其与您存储在某处的有效密钥列表进行比较。
我不明白的是如何允许流转到下一个函数(如 express 中的“next()”)或在提供无效 API 密钥时停止。有一个“回调”参数,但我不知道如何使用它(还)。
我希望这行得通。
您确实需要自行实施安全检查。Swagger 将帮助您定义它们,但实施是您的工作。