Envoy实现.NET架构的网关(四)集成IdentityServer4实现OAuth2认证

原創 伊辛伊忆 2021-11-01 13:10

什么是OAuth2认证

简单说,OAuth 就是一种授权机制。数据的所有者告诉系统,同意授权第三方应用进入系统,获取这些数据。系统从而产生一个短期的进入令牌(token),用来代替密码,供第三方应用使用。而IdentityServer4就是一个开源的OAuth2认证系统。网关与IdentityServer4集成之后,我们可以避免为内部的每个微服务集成IdentityServer4,可以避免很多重复的工作,而这也是网关的一个重要优势。

新建IdentityServer4服务

1.新增WebApi,并引用Nuget包IdentityServer4

2.新增校验证书,其中的证书文件通过openssl创建

     2.1安装生成证书程序:https://slproweb.com/products/Win32OpenSSL.html(对应操作系统)

     2.2生成证书【找到安装位置】

openssl req -newkey rsa:2048 -nodes -keyout chester.key -x509 -days 365 -out chester.cer

Country Name (2 letter code) [AU]:跳过所有步骤

openssl pkcs12 -export -in chester.cer -inkey chester.key -out chester.pfx

输入密码:123456 确认密码:123456 即可

3.新增配置信息

public class Config
    {
        public static IEnumerable<ApiResource> GetApiResources()
        {
            return new List<ApiResource>
              {
                new ApiResource("api1", "我的第一个API")
                {
                    UserClaims =
                    {
                        JwtClaimTypes.Audience
                    },
                    Scopes = new List<string>
                    {
                        "api"
                    },
                }
              };
        }
        public static IEnumerable<Client> GetClients()
        {
            return new List<Client>
            {
                new Client
                {
                    ClientId="client",//定义客户端ID
                    ClientSecrets=
                    {
                        new Secret("secret".Sha256())//定义客户端秘钥
                    },
                    AllowedGrantTypes = GrantTypes.ResourceOwnerPassword,//授权方式为用户密码模式授权,类型可参考GrantTypes枚举
                    AllowedScopes={ "api" }//允许客户端访问的范围
                }
            };
        }

        public static IEnumerable<ApiScope> ApiScopes =>
            new ApiScope[] { new ApiScope("api") };

        public static IEnumerable<IdentityResource> GetIdentityResources()
        {
            return new IdentityResource[]
            {
                new IdentityResources.OpenId()
            };
        }
    }

4.注入IdentityServer4

        public void ConfigureServices(IServiceCollection services)
        {
            services.AddIdentityServer()//注册服务
              //.AddDeveloperSigningCredential()
              .AddSigningCredential(new X509Certificate2("chester.pfx","123456") )
              .AddInMemoryApiResources(Config.GetApiResources())//配置类定义的授权范围
              .AddInMemoryClients(Config.GetClients())//配置类定义的授权客户端
               .AddInMemoryApiScopes(Config.ApiScopes)
              .AddTestUsers(new List<TestUser> { new TestUser { Username = "Admin", Password = "123456", SubjectId = "001", IsActive = true } });//模拟测试用户,这里偷懒了,用户可以单独管理,最好不要直接在这里New
            services.AddControllers();
        }

5.开启IdentityServer4中间件

app.UseIdentityServer();//添加中间件

6.然后启动IdentityServer4服务

配置Envoy

我们需要用到Envoy的envoy.filters.http.jwt_authn,需要注意的有以下几点

  • Envoy的过滤器加载是自上而下的,因此我们需要将此过滤器放到envoy.filters.http.router前
  • 另外我们需要在配置文件中配置jwt的jwks地址/.well-known/openid-configuration/jwks,jwks是JSON Web密钥集—一种用于共享公钥的JSON表示法,用于验证JWT签名
  • 并且我们需要配置ids4服务的cluster。

具体配置如下,需要注意的地方已标红

admin:
  address:
    socket_address:
      protocol: TCP
      address: 0.0.0.0
      port_value: 9902
static_resources:
  listeners:
  - name: listener_0
    address:
      socket_address:
        protocol: TCP
        address: 0.0.0.0
        port_value: 10000
    filter_chains:
    - filters:
      - name: envoy.filters.network.http_connection_manager
        typed_config:
          "@type": type.googleapis.com/envoy.extensions.filters.network.http_connection_manager.v3.HttpConnectionManager
          scheme_header_transformation:
            scheme_to_overwrite: http
          stat_prefix: ingress_http
          route_config:
            name: local_route
            virtual_hosts:
            - name: local_service
              domains: ["*"]
              routes:
              - match:
                  prefix: "/"
                route:
                  host_rewrite_literal: 192.168.43.94
                  cluster: service_envoyproxy_io
          http_filters:
          - name: envoy.filters.http.jwt_authn
            typed_config:
              "@type": type.googleapis.com/envoy.extensions.filters.http.jwt_authn.v3.JwtAuthentication
              providers:
                jwt_provider:
                  issuer: "http://192.168.43.94:7000"
                  audiences:
                    - "api1"
                  forward: true
                  remote_jwks:
                    http_uri:
                      uri: "http://192.168.43.94:7000/.well-known/openid-configuration/jwks"
                      cluster: jwtserver
                      timeout: 5s
              rules:
                - match:
                    prefix: "/"
                  requires:
                    provider_name: jwt_provider
          - name: envoy.filters.http.router
  clusters:
  - name: jwtserver
    connect_timeout: 0.25s
    type: STRICT_DNS
    lb_policy: ROUND_ROBIN
    load_assignment:
      cluster_name: jwtserver
      endpoints:
      - lb_endpoints:
        - endpoint:
            address:
              socket_address:
                address: 192.168.43.94
                port_value: 7000
  - name: service_envoyproxy_io
    connect_timeout: 30s
    type: strict_dns
    # Comment out the following line to test on v6 networks
    dns_lookup_family: V4_ONLY
    lb_policy: ROUND_ROBIN
    load_assignment:
      cluster_name: service_envoyproxy_io
      endpoints:
      - lb_endpoints:
        - endpoint:
            address:
              socket_address:
                address: 192.168.43.94
                port_value: 5000

启动envoy

docker run --rm -it -p 9902:9902 -p 10000:10000 -v D:/gateway/envoy/config/static/:/etc/envoy/ -v D:/gateway/envoy/logs:/logs envoyproxy/envoy-dev  -c /etc/envoy/envoy-jwt.yaml

验证jwt

我们直接访问http://192.168.43.94:10000/Name,不携带token,可以看到请求被拒绝,返回401

 下面我们调用ids4的/connect/token接口获取token

将获取到的token放到Name接口的Header里,再次调用成功!!!

 

至此,我们通过Envoy+IdentityServer4实现了网关的JWT认证,可以节省内部微服务与IdentityServer4重复的集成工作,实现了统一处理认证逻辑。

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

Git使用经验总结4-撤回上一次本地提交

這個問題的意義在於,Git提交代碼是先提交到本地,然後再推送到遠端。一些比較嚴格的Git倉庫會有一些代碼提交檢查,一旦檢查到問題就會禁止提交。那麼這個時候就尷尬了,本地已經提交了,但是遠端又推送不上去。基於當前版本作修改再提交也不一定能推送

harlee44 2024-05-08 14:31:14

Git使用经验总结5-修改提交信息

還是先說說這個這樣做的目的爲什麼。除了正常的進行代碼變更說明修改,更重要的是Git提交的時候能夠觸發一些操作,例如在Github上提交close#24這樣的關鍵字可以將提交關聯到具體的issue上,這樣可以讓變更關聯到具體的需求或者討論上。

harlee44 2024-05-08 14:31:14

全站变灰色样式通用

html { -webkit-filter: grayscale(100%); -moz-filter: grayscale(100%); -ms-filter: grayscale(100%); -o-filter: grayscale(

IT小白鴿 2024-05-08 14:30:44

php-strpos 判断一个字符串是否存在于另一个字符串中

在 PHP 中,你可以使用 strpos() 函數來判斷一個字符串(例如 "play")是否存在於另一個字符串中。strpos() 函數會返回子字符串在原始字符串中首次出現的位置(索引從 0 開始),如果子字符串不存在,則返回 false。

流年中渲染了微笑 2024-05-08 14:30:04

编程随想曲周刊(第75期)

這裏記錄每週的所見所聞,週日發佈。點擊閱讀原文可以直接訪問文章鏈接。 文章 看完豆瓣電影250後的體驗 羅永浩的嘴,蔚來的腿 熱點 蔡崇信最新發聲:阿里承認錯誤,我們到了最危險的時刻! 5年來首次,馬雲內網髮長文 播客 156.程

Simle 2024-05-08 14:27:23

编程随想曲周刊(第76期)

這裏記錄每週的所見所聞,週日發佈。點擊閱讀原文可以直接訪問文章鏈接。 編程 從零開始的 OpenWrt 工具 互聯網上最值得信賴的指南網站 Apple Store一條新規,直接讓遊戲機模擬器登頂了 iOS最強模擬器 Delta 正式上

Simle 2024-05-08 14:27:23

DeepFilterNet复现

大概框架 有兩路特徵,一個ERB特徵,另外一個是STFT之後的複數特徵。先使用ERB濾波器對ERB特徵進行增益,然後再傳入DNN模型,兩階段模型。 整體時延最低可達5ms。 這裏提到的DeepFilter,其實就是說用神經網絡對TF譜進行操

Kevin_naticl 2024-05-08 14:25:33

条款49:了解 new handler 的行为

    --

htj10 2024-05-08 14:21:53

同事使用 insert into select 迁移数据,开开心心上线,上线后被公司开除!

作者:xlecho 鏈接:https://juejin.cn/post/6931890118538199048 血一般的教訓,請慎用 insert into select。同事應用之後,導致公司損失了近10w元,最終被公司開除。 事情

Java技術棧 2024-05-08 14:21:32

多语言实现 - 世界语言对应的简写

準備多語言文件: messages_en.properties、messages_zh.properties Locale locale = new Locale("en", "US"); // 設置語言爲英文,地區爲美國 Re

阿 軍 2024-05-08 14:15:12

《最新出炉》系列入门篇-Python+Playwright自动化测试-44-鼠标操作-上篇

1.簡介 前邊文章中已經講解過鼠標的拖拽操作,今天宏哥在這裏對其的其他操作進行一個詳細地介紹和講解,然後對其中的一些比較常見的、重要的操作單獨拿出來進行詳細的介紹和講解。 2.鼠標操作語法 鼠標操作介紹官方API的文檔地址:https://

北京-宏哥 2024-05-08 14:14:42

Docker 安装 Elasticsearch 和 kibana

獲取鏡像 docker pull elasticsearch:8.11.4 docker pull elasticsearch:8.11.4 創建網絡 docker network create es-net 運行 es d

李*靜波 2024-05-08 14:14:21

算法~PBKDF2-SHA让密码更安全

摘要:在當今的數字世界中,密碼安全是至關重要的。爲了保護用戶密碼免受未經授權的訪問和破解,Password-Based Key Derivation Function 2 (PBKDF2)算法成爲了一種重要的工具。 在 PBKDF2 算法中

張佔嶺 2024-05-08 14:12:31

Computer Basics - Top 10 keyboard shortcuts everyone should know

REF https://www.computerhope.com/tips/tip79.htm Top 10 keyboard shortcuts(快捷鍵) everyone should know Using keyboard short

emanlee 2024-05-08 14:10:30

Computer Basics - How to use a computer keyboard

          REF https://www.computerhope.com/issues/ch001689.htm https://www.digitalunite.com/technology-guides/compute

emanlee 2024-05-08 14:10:30