ASP.NET Core Blazor Web App 调用外部安全Web API的最佳实践

在ASP.NET Core Blazor Web App（BWA）开发中，调用外部安全Web API是一个常见需求。本文将深入探讨如何实现这一功能，特别是结合Microsoft Entra ID进行身份验证的场景。

核心挑战与解决方案

Blazor Web App调用外部安全API面临几个关键挑战：

1. 身份验证流程：如何安全地传递访问令牌
2. 跨域资源共享(CORS)：处理不同域之间的请求
3. 令牌管理：有效管理访问令牌和刷新令牌

微软推荐采用Backend for Frontend（BFF）模式来解决这些问题。BFF模式的核心思想是在服务器端处理所有身份验证和令牌管理，而不是在客户端直接处理敏感信息。

实现步骤详解

1. 项目结构配置

典型的解决方案包含三个主要组件：

• Blazor Web App（前端）
• BFF中间件（处理身份验证）
• 独立的外部Web API服务

2. 身份验证配置

使用Microsoft Identity Web库配置Entra ID身份验证：

builder.Services.AddMicrosoftIdentityWebAppAuthentication(builder.Configuration)
    .EnableTokenAcquisitionToCallDownstreamApi()
    .AddInMemoryTokenCaches();

3. BFF中间件实现

创建自定义中间件来处理API请求并附加访问令牌：

app.Use(async (context, next) => {
    var tokenAcquisition = context.RequestServices.GetRequiredService<ITokenAcquisition>();
    var token = await tokenAcquisition.GetAccessTokenForUserAsync(new[] { "api://your-api-id/access_as_user" });
    
    context.Request.Headers.Authorization = new AuthenticationHeaderValue("Bearer", token);
    await next();
});

4. 前端组件调用

在Razor组件中，通过注入的HttpClient调用API：

@inject HttpClient Http

<button @onclick="GetWeatherForecast">获取天气数据</button>

@code {
    private async Task GetWeatherForecast()
    {
        forecasts = await Http.GetFromJsonAsync<WeatherForecast[]>("https://yourapi.azurewebsites.net/weatherforecast");
    }
}

高级场景处理

多API集成

当需要调用多个下游API时，需要注意：

1. 合理规划API权限和范围
2. 避免请求头过大导致的错误
3. 考虑使用Microsoft Graph API集中管理权限

令牌缓存策略

根据应用需求选择合适的令牌缓存方式：

• 内存缓存（开发环境）
• 分布式缓存（生产环境）
• 会话缓存（中等规模应用）

性能优化建议

1. 令牌预获取：在用户登录后立即获取常用API的访问令牌
2. 批处理请求：合并多个API调用减少网络往返
3. 缓存响应：对不常变动的数据实施客户端缓存

安全最佳实践

1. 始终使用HTTPS传输敏感数据
2. 实施严格的CORS策略
3. 定期轮换客户端密钥和证书
4. 监控和记录所有API调用

通过以上方法，开发者可以构建安全、高效的Blazor Web App，实现与外部Web API的无缝集成。微软官方推荐使用BFF模式作为最佳实践，特别是在需要严格安全控制的商业应用中。