Ocelot簡易教程(五)之集成IdentityServer認證以及授權

原創 ZeroRm 2018-12-23 14:48

Ocelot簡易教程目錄

  1. Ocelot簡易教程(一)之Ocelot是什麼
  2. Ocelot簡易教程(二)之快速開始1
  3. Ocelot簡易教程(二)之快速開始2
  4. Ocelot簡易教程(三)之主要特性及路由詳解
  5. Ocelot簡易教程(四)之請求聚合以及服務發現
  6. Ocelot簡易教程(五)之集成IdentityServer認證以及授權
  7. Ocelot簡易教程(六)之重寫配置文件存儲方式並優化響應數據
  8. Ocelot簡易教程(七)之配置文件數據庫存儲插件源碼解析

最近比較懶,所以隔了N天才來繼續更新第五篇Ocelot簡易教程,本篇教程會先簡單介紹下官方文檔記錄的內容然後在前幾篇文檔代碼的基礎上進行實例的演示。目的是爲了讓小白也能按照步驟把代碼跑起來。當然,在開始之前你要對IdentityServer有一定的瞭解,並且能夠進行IdentityServer的集成,如果你還不會集成IdentityServer的話還是先看看我的這篇Asp.NetCoreWebApi圖片上傳接口(二)集成IdentityServer4授權訪問(附源碼)文章吧。裏面有一步一步的集成IdentityServer的實例。

好了,廢話說完了,那就讓我們開始進入今天的主題吧!Ocelot認證與授權。

概念表述

認證

爲了驗證ReRoutes並隨後使用Ocelot的任何基於聲明的功能,例如授權或使用令牌中的值修改請求。 用戶必須像往常一樣在他們的Startup.cs中註冊認證服務,惟一的不同是他們需要給每個認證註冊提供一個方案,例如

<span style="color:#333333"><code><span style="color:#0000ff">public</span> <span style="color:#0000ff">void</span> <span style="color:#a31515">ConfigureServices</span>(IServiceCollection services)
{
    <span style="color:#0000ff">var</span> authenticationProviderKey = <span style="color:#a31515">"OcelotKey"</span>;

    services.AddAuthentication()
        .AddJwtBearer(authenticationProviderKey, x =>
        {
        });
}</code></span>

在此示例中,OcelotKey是此提供程序已註冊的方案。然後我們將其映射到配置中的ReRoute,例如

<span style="color:#333333"><code><span style="color:#a31515">"ReRoutes"</span>: [
    {
      <span style="color:#a31515">"DownstreamPathTemplate"</span>: <span style="color:#a31515">"/api/{everything}"</span>,
      <span style="color:#a31515">"DownstreamScheme"</span>: <span style="color:#a31515">"http"</span>,
      <span style="color:#a31515">"DownstreamHostAndPorts"</span>: [
        {
          <span style="color:#a31515">"Host"</span>: <span style="color:#a31515">"localhost"</span>,
          <span style="color:#a31515">"Port"</span>: <span style="color:#000000">1001</span>
        },
        {
          <span style="color:#a31515">"Host"</span>: <span style="color:#a31515">"localhost"</span>,
          <span style="color:#a31515">"Port"</span>: <span style="color:#000000">1002</span>
        }
      ],
      <span style="color:#a31515">"UpstreamPathTemplate"</span>: <span style="color:#a31515">"/{everything}"</span>,
      <span style="color:#a31515">"UpstreamHttpMethod"</span>: [ <span style="color:#a31515">"Get"</span>, <span style="color:#a31515">"Post"</span> ],
      <span style="color:#a31515">"LoadBalancerOptions"</span>: {
        <span style="color:#a31515">"Type"</span>: <span style="color:#a31515">"RoundRobin"</span>
      },
      <span style="color:#a31515">"AuthenticationOptions"</span>: {
        <span style="color:#a31515">"AuthenticationProviderKey"</span>: <span style="color:#a31515">"OcelotKey"</span>,
        <span style="color:#a31515">"AllowedScopes"</span>: []
      }
    }
  ]</code></span>

當Ocelot運行時,它將查看此ReRoutes中 AuthenticationOptions節點下面的AuthenticationProviderKey並檢查是否有使用給定密鑰註冊的身份驗證提供程序。如果沒有,那麼Ocelot不會啓動,如果有的話ReRoute將在執行時使用該提供者。

如果對ReRoute進行了身份驗證,則Ocelot將在執行身份驗證中間件時調用與其關聯的認證方案。如果請求失敗,則認證Ocelot返回http的狀態代碼爲401即未授權狀態。

JWT令牌

如果您想使用JWT令牌進行身份驗證,可能來自OAuth之類的提供程序,您可以正常註冊您的身份驗證中間件,例如

<span style="color:#333333"><code><span style="color:#0000ff">public</span> <span style="color:#0000ff">void</span> <span style="color:#a31515">ConfigureServices</span>(IServiceCollection services)
{
    <span style="color:#0000ff">var</span> authenticationProviderKey = <span style="color:#a31515">"OcelotKey"</span>;

    services.AddAuthentication()
        .AddJwtBearer(authenticationProviderKey, x =>
        {
            x.Authority = <span style="color:#a31515">"test"</span>;
            x.Audience = <span style="color:#a31515">"test"</span>;
        });

    services.AddOcelot();
}</code></span>

然後將身份驗證提供程序密鑰映射到配置中的ReRoute,例如

<span style="color:#333333"><code><span style="color:#a31515">"ReRoutes"</span>: [
    {
      <span style="color:#a31515">"DownstreamPathTemplate"</span>: <span style="color:#a31515">"/api/{everything}"</span>,
      <span style="color:#a31515">"DownstreamScheme"</span>: <span style="color:#a31515">"http"</span>,
      <span style="color:#a31515">"DownstreamHostAndPorts"</span>: [
        {
          <span style="color:#a31515">"Host"</span>: <span style="color:#a31515">"localhost"</span>,
          <span style="color:#a31515">"Port"</span>: <span style="color:#000000">1001</span>
        },
        {
          <span style="color:#a31515">"Host"</span>: <span style="color:#a31515">"localhost"</span>,
          <span style="color:#a31515">"Port"</span>: <span style="color:#000000">1002</span>
        }
      ],
      <span style="color:#a31515">"UpstreamPathTemplate"</span>: <span style="color:#a31515">"/{everything}"</span>,
      <span style="color:#a31515">"UpstreamHttpMethod"</span>: [ <span style="color:#a31515">"Get"</span>, <span style="color:#a31515">"Post"</span> ],
      <span style="color:#a31515">"LoadBalancerOptions"</span>: {
        <span style="color:#a31515">"Type"</span>: <span style="color:#a31515">"RoundRobin"</span>
      },
      <span style="color:#a31515">"AuthenticationOptions"</span>: {
        <span style="color:#a31515">"AuthenticationProviderKey"</span>: <span style="color:#a31515">"OcelotKey"</span>,
        <span style="color:#a31515">"AllowedScopes"</span>: []
      }
    }
  ]</code></span>

Identity Server Bearer Tokens認證

接下來上今天的主角了。identityServer認證方式。爲了使用IdentityServer承載令牌,請按照慣例在ConfigureServices 中使用方案(密鑰)註冊您的IdentityServer服務。 如果您不明白如何操作,請訪問IdentityServer文檔。或者查看我的這篇Asp.NetCoreWebApi圖片上傳接口(二)集成IdentityServer4授權訪問(附源碼)文章。

<span style="color:#333333"><code> <span style="color:#0000ff">var</span> authenticationProviderKey = <span style="color:#a31515">"OcelotKey"</span>;
            <span style="color:#0000ff">var</span> identityServerOptions = <span style="color:#0000ff">new</span> IdentityServerOptions();
            Configuration.Bind(<span style="color:#a31515">"IdentityServerOptions"</span>, identityServerOptions);
            services.AddAuthentication(identityServerOptions.IdentityScheme)
                .AddIdentityServerAuthentication(authenticationProviderKey, options =>
                {
                    options.RequireHttpsMetadata = <span style="color:#a31515">false</span>; <span style="color:green">//是否啓用https</span>
                    options.Authority = <span style="color:#a31515">$"http://<span style="color:#a31515">{identityServerOptions.ServerIP}</span>:<span style="color:#a31515">{identityServerOptions.ServerPort}</span>"</span>;<span style="color:green">//配置授權認證的地址</span>
                    options.ApiName = identityServerOptions.ResourceName; <span style="color:green">//資源名稱,跟認證服務中註冊的資源列表名稱中的apiResource一致</span>
                    options.SupportedTokens = SupportedTokens.Both;
                }
                );
            services.AddOcelot()<span style="color:green">//注入Ocelot服務</span>
                    .AddConsul();</code></span>

然後將身份驗證提供程序密鑰映射到配置中的ReRoute,例如

<span style="color:#333333"><code><span style="color:#a31515">"ReRoutes"</span>: [
    {
      <span style="color:#a31515">"DownstreamPathTemplate"</span>: <span style="color:#a31515">"/api/{everything}"</span>,
      <span style="color:#a31515">"DownstreamScheme"</span>: <span style="color:#a31515">"http"</span>,
      <span style="color:#a31515">"DownstreamHostAndPorts"</span>: [
        {
          <span style="color:#a31515">"Host"</span>: <span style="color:#a31515">"localhost"</span>,
          <span style="color:#a31515">"Port"</span>: <span style="color:#000000">1001</span>
        },
        {
          <span style="color:#a31515">"Host"</span>: <span style="color:#a31515">"localhost"</span>,
          <span style="color:#a31515">"Port"</span>: <span style="color:#000000">1002</span>
        }
      ],
      <span style="color:#a31515">"UpstreamPathTemplate"</span>: <span style="color:#a31515">"/{everything}"</span>,
      <span style="color:#a31515">"UpstreamHttpMethod"</span>: [ <span style="color:#a31515">"Get"</span>, <span style="color:#a31515">"Post"</span> ],
      <span style="color:#a31515">"LoadBalancerOptions"</span>: {
        <span style="color:#a31515">"Type"</span>: <span style="color:#a31515">"RoundRobin"</span>
      },
      <span style="color:#a31515">"AuthenticationOptions"</span>: {
        <span style="color:#a31515">"AuthenticationProviderKey"</span>: <span style="color:#a31515">"OcelotKey"</span>,
        <span style="color:#a31515">"AllowedScopes"</span>: []
      }
    }
  ]</code></span>

允許訪問的範圍(Allowed Scopes)

如果將範圍添加到AllowedScopes,Ocelot將獲得類型範圍的所有用戶聲明(從令牌中),並確保用戶具有列表中的所有範圍。

這是一種基於範圍限制對ReRoute訪問的方式。(我也沒用過這種方式,感覺有點類似IdentityServer Scope的概念)

實例演示集成IdentityServer

  1. 新建一個OcelotDemo.Auth asp.net core web api項目

  2. 項目進行IdentityServer服務端相關的配置,這裏爲了演示的方便採用硬編碼的方式進行的配置。具體配置可以參考Asp.NetCoreWebApi圖片上傳接口(二)集成IdentityServer4授權訪問(附源碼)這篇文章

  3. 在網關項目OcelotDemo中添加Nuget包

    Install-Package IdentityServer4.AccessTokenValidation

  4. 在OcelotDemo項目中的Startup.cs中加入identityServer驗證,如下所示:

    var authenticationProviderKey = "OcelotKey";
            var identityServerOptions = new IdentityServerOptions();
            Configuration.Bind("IdentityServerOptions", identityServerOptions);
            services.AddAuthentication(identityServerOptions.IdentityScheme)
                .AddIdentityServerAuthentication(authenticationProviderKey, options =>
                {
                    options.RequireHttpsMetadata = false; //是否啓用https
                    options.Authority = $"http://{identityServerOptions.ServerIP}:{identityServerOptions.ServerPort}";//配置授權認證的地址
                    options.ApiName = identityServerOptions.ResourceName; //資源名稱,跟認證服務中註冊的資源列表名稱中的apiResource一致
                    options.SupportedTokens = SupportedTokens.Both;
                }
                );
            services.AddOcelot()//注入Ocelot服務
                    .AddConsul();

  5. 在ocelot.json中需要加入驗證的ReRoute中,修改爲如下的配置代碼:

    "ReRoutes": [
    {
      "DownstreamPathTemplate": "/api/{everything}",
      "DownstreamScheme": "http",
      "DownstreamHostAndPorts": [
        {
          "Host": "localhost",
          "Port": 1001
        },
        {
          "Host": "localhost",
          "Port": 1002
        }
      ],
      "UpstreamPathTemplate": "/{everything}",
      "UpstreamHttpMethod": [ "Get", "Post" ],
      "LoadBalancerOptions": {
        "Type": "RoundRobin"
      },
      "AuthenticationOptions": {
        "AuthenticationProviderKey": "OcelotKey",
        "AllowedScopes": []
      }
    }
  ]

  6. 打開PostMan測試一下代碼吧,首先訪問一下http://localhost:1000/values 這時候返回的結果是401未授權的狀態,如下圖所示:

    1539780575952

  7. 然後訪問我們上面新建的IdentityServer服務器並獲取Token。如下圖所示配置對應的參數進行獲取:

    1539780272769

  8. 然後使用我們獲取到的access_token進行Ocelot網關接口的訪問,如下所示進行配置:

    1539780805247

    可以看到結果返回了200代碼,並且結果在Good以及Order之間進行切換。因爲Ocelot.json文件中對路由進行了RoundRobin的負載均衡的策略。

授權

Ocelot支持基於聲明的授權,該授權在身份驗證後運行。這意味着如果您有要授權的Url,則可以將以下內容添加到ReRoute配置中。

<span style="color:#333333"><code><span style="color:#a31515">"RouteClaimsRequirement"</span>: {
    <span style="color:#a31515">"UserType"</span>: <span style="color:#a31515">"registered"</span>
}</code></span>

在此示例中,當調用授權中間件時,Ocelot將檢查用戶是否具有聲明類型UserType以及是否已註冊該聲明的值。如果不是,則用戶將不被授權,並且將響應403禁止訪問的狀態碼。

當然這種授權的方式在大部分業務場景中都是不適用的,需要自己重寫Ocelot的中間件才能實現。通過Ocelot中間件的重寫你可以實現自己的授權邏輯,如果你還有限流的需求,比如說對每個客戶端進行不同的限流策略。比方說,有三個客戶端A,B,C。訪問相同的URL,但是我們要控制A,每分鐘只能訪問10次,B每分鐘能訪問20次,而C不允許訪問。針對這個場景Ocelot卻沒有相關的實現。但是我們可以通過重寫Ocelot中間件來實現它。由於篇幅有限,所以今天就不進行介紹了。但是我會抽時間進行相關的實現,並分享給大家。

源碼

本篇博文的源碼已經上傳到Github。可以進行參考。https://github.com/yilezhu/OcelotDemo

總結

本文先大致介紹一下Ocelot如何集成認證授權,然後通過實例進行了IdentityServer集成的演示,希望能對大家有一定的參考作用。當然文中也提到了,應對複雜的授權以及限流需要自行重寫Ocelot中間件進行實現。具體如何實現呢,我會盡快分享給大家。同樣的通過重寫Ocelot中間件我們還可以把ocelot.json的配置信息存儲到數據庫並緩存到Redis中!最後,感謝大家的閱讀!

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

ASP.NET Core 入門學習筆記 1、使用ASP.NET Core 構建第一個Web應用

在此感謝博主ken的雜談,參照該博主文章記錄自己的學習 博主文章鏈接:博主鏈接 一、前置知識的學習 1、VS Code + .NET Core快速開始 2、C#語法學習 此類知識應當是學習.NET Core 的基礎知識 主要通過菜

lxysoid 2020-07-08 03:33:13

小白de技術哲學(Redis) - 分佈式鎖

一、前言 在談 分佈式鎖 之前不得不聊下 線程鎖 、 進程鎖 : 線程鎖:在編程時給方法、代碼塊加鎖,使得在同一時刻只能有一線程執行此方法、代碼塊保證線程安全。 進程鎖:控制在同一操作系統中多個進程同時訪問一個共享資源,只是因爲

sports-boy 2020-07-07 04:44:26

Blazor —— 探索razor組件背後的祕密,你絕對想象不到

文章目錄前言ComponentBaseRenderTreeBuilder總結 前言 一般情況下,我們可以使用 .razor 文件來編寫組件,但是它背後的祕密你們知道嗎?如果不用 .razor 的文件,我們又如何可以編寫組件呢? C

佛系最高指挥官 2020-07-05 23:14:01

ASP.NET Core如何自定義中間件

中間件是什麼 想知道如何自定義中間件,最起碼要先了解一下ASP.NET Core的中間件是什麼,根據微軟官方的解釋,中間件是用於處理請求和響應。在以前使用ASP.NET開發的時代,對於處理請求和響應我們都是使用HttpModule和Htt

windowsliusheng 2020-07-05 15:42:06

ASP.NET Core Web API 中開啓跨域

 在Startup文件Configure方法中配置以下代碼 app.UseCors(builder => { builder.AllowAnyHeader();

windowsliusheng 2020-07-05 15:00:24

ASP.NET Core如何不重啓獲取更改後的配置

1.appsettings.json配置文件中配置數據 { "UserName": "Admin" } 2.Startup文件Configure方法中添加以下配置(熱更新主要使用的ChangeToken.OnChange​方法通知設

windowsliusheng 2020-07-05 15:00:24

ASP.NET Core 進程內(InProcess)託管

ASP.NET Core 進程內(InProcess)託管 在 ASP.NET Core 中的進程內(InProcess)託管模型 什麼是 Kestrel 服務器 當一個 ASP.NET Core 應用程序執行的時候,.NET 運行時會去

Cool2Feel 2020-07-05 10:52:44

在 Asp.Net Core 中安裝 MVC

在 ASP.NET Core 中安裝 MVC 到目前爲止,我們在本系列文章中使用的 ASP.NET Core 項目是使用“空”項目模板生成的。目前這個項目沒有設置和安裝 MVC。 兩個步驟學會在 ASP.NET Core 配置 MVC 步

Cool2Feel 2020-07-05 10:52:44

ASP.NET Core Web 項目文件

在本文章中,我們將探索並瞭解 asp.net core 項目文件。 我們使用 C#作爲編程語言,因此項目文件具有.csproj 擴展名。 如果您使用過以前版本的 ASP.NET,那麼您可能對此文件非常熟悉,但此文件中包含的格式和內容在 a

Cool2Feel 2020-07-05 10:52:44

ASP.NET Core launchsettings.json 文件

ASP.NET Core launchsettings.json 文件 在本節中,我們將討論在 ASP.NET Core 項目中launchsettings.json文件的重要性。 launchsettings.json 文件 您將在項目

Cool2Feel 2020-07-05 10:52:44

ASP.NET Core appsettings.json 文件

ASP.NET Core appsettings.json 文件 在本節中,我們將討論 ASP.NET Core 項目中appsettings.json文件的重要性。 在以前的 ASP.NET 版本中,我們將應用程序配置設置(例如數據庫連

Cool2Feel 2020-07-05 10:52:44

配置 ASP.NET Core 請求(Request)處理管道

配置 ASP.NET Core 請求(Request)處理管道 在本節中,我們將討論使用中間件組件爲 asp.net core 應用程序配置請求處理管道。 作爲應用程序啓動的一部分,我們要在Configure()方法中設置請求處理管道。

Cool2Feel 2020-07-05 10:52:44

詳解 ASP.NET Core MVC 的設計模式

MVC 是什麼?它是如何工作的?我們來解剖它 在本節課中我們要討論的內容: 什麼是 MVC? 它是如何工作的? 什麼是 MVC MVC 由三個基本部分組成 - 模型(Model),視圖(View)和控制器(Controller)。 它是

Cool2Feel 2020-07-05 10:52:44

ASP.NET Core MVC 中的 Model 模型

ASP.NET Core MVC 中的 Model   我們希望最終從 Student 數據庫表中查詢特定的學生詳細信息並顯示在網頁上,如下所示。 MVC 中的模型包含一組表示數據的類和管理該數據的邏輯。 因此,爲了表示我們想要顯示的學

Cool2Feel 2020-07-05 10:52:44

構建自己的簡單微服務架構

總體介紹 隨着業務需求的快速發展變化,需求不斷增長,迫切需要一種更加快速高效的軟件交付方式。微服務可以彌補單體應用不足,是一種更加快速高效軟件架構風格。單體應用被分解成多個更小的服務,每個服務有自己的獨立模塊,單獨部署,然後共同組

CacoCode 2020-07-08 09:08:45