前言:上一篇中实现了consul的服务注册与发现,现在可以把网关系统进行一次升级改造,实现简单的服务发现与治理以及身份认证
一,Consul服务发现的引用与配置
1,使用NuGet安装Ocelot.Provider.Consul:
2,使用Startup.cs进行注册:
public void ConfigureServices(IServiceCollection services) { //添加ocelot服务 services.AddOcelot() //服务发现 .AddConsul(); }
3,修改ocelot.json配置文件:
{ "Routes": [ { /*下游地址*/ "DownstreamPathTemplate": "/product/{xx}", /*请求方式*/ "DownstreamScheme": "http", /*服务名称*/ "ServiceName": "productsevrice", /*下游服务的主机和端口*/ //"DownstreamHostAndPorts": [ // { // "Host": "localhost", // "Port": 4001 // }, // { // "Host": "localhost", // "Port": 4002 // } //], /*上游路径地址*/ "UpstreamPathTemplate": "/api/product/{xx}", "UpstreamHttpMethod": [ "Get", "Post", "Put", "Delete" ], /*请求方式*/ /*负载均衡:RoundRobin - 循环访问, NoLoadBalancer - 从配置或服务发现中获取第一个可用服务, "LeastConnection" 请求最少的服务发送新请求, CookieStickySessions - 使用 cookie 将所有请求粘贴到特定服务器 "*/ "LoadBalancerOptions": { "Type": "LeastConnection" /*请求最少的服务发送新请求*/ } } ], "GlobalConfiguration": { /*ocelot网关将要运行的地址*/ "BaseUrl": "http://localhost:4000", "ServiceDiscoveryProvider": { "Scheme": "http", "Host": "localhost", "Port": 8500, "Type": "Consul" } } }
使用consul服务发现相关配置,在全局GlobalConfiguration增加ServiceDiscoveryProvider, 移除DownstreamHostAndPorts节点。
二,Polly服务治理的引用与配置
服务治理是为了提高服务质量以及可用性,缓存,限流,熔断,负载均衡等等都算,实际使用中按需实现即可
1,超时/熔断:
超时即网关请求服务时的最长响应时间,熔断某个服务的请求异常次数达到一定量时不对其继续请求
(1)添加Ocelot.Provider.Polly
(2)修改Startup配置
public void ConfigureServices(IServiceCollection services) { //添加ocelot服务 services.AddOcelot() //服务发现 .AddConsul() //添加Polly(防止熔断) .AddPolly(); }
(3)修改Ocelot.json
/*熔断/超时 超时就是网关请求服务时可容忍的最长响应时间。 熔断的意思就是当请求某个服务的异常次数达到一定量时, 那么网关在一定时间内就不再对这个服务发起请求了,直接熔断*/ "QoSOptions": { "ExceptionsAllowedBeforeBreaking": 3, //发生错误的次数 "DurationOfBreak": 10000, //熔断时间 "TimeoutValue": 5000 //请求超过 5 秒,它将自动超时。 }
2,缓存/限流
(1) 添加 Ocelot.Cache.CacheManager
(2)修改配置:
public void ConfigureServices(IServiceCollection services) { //添加ocelot服务 services.AddOcelot() //服务发现 .AddConsul() //添加Polly(防止熔断) .AddPolly() //添加缓存,限流 .AddCacheManager(x => { x.WithDictionaryHandle(); }); }
Ocelot.json配置修改:
/*缓存*/ "FileCacheOptions": { "TtlSeconds": 5, //过期时间 "Region": "productcache" }, /*限流*/ "RateLimitOptions": { "ClientWhitelist": [ "SuperClient" ], //白名单中的客户端可以不受限流的影响 "EnableRateLimiting": true, //是否限流 "Period": "5s", //限流的单位时间 "PeriodTimespan": 2, //请求上限多少秒后可以重试 "Limit": 1 //定义的时间内可以发出的最大请求数 }
最后修改完成之后的Ocelot.json:
{ "Routes": [ { /*下游地址*/ "DownstreamPathTemplate": "/product/{xx}", /*请求方式*/ "DownstreamScheme": "http", /*服务名称*/ "ServiceName": "productsevrice", /*下游服务的主机和端口*/ //"DownstreamHostAndPorts": [ // { // "Host": "localhost", // "Port": 4001 // }, // { // "Host": "localhost", // "Port": 4002 // } //], /*上游路径地址*/ "UpstreamPathTemplate": "/api/product/{xx}", "UpstreamHttpMethod": [ "Get", "Post", "Put", "Delete" ], /*请求方式*/ /*负载均衡:RoundRobin - 循环访问, NoLoadBalancer - 从配置或服务发现中获取第一个可用服务, "LeastConnection" 请求最少的服务发送新请求, CookieStickySessions - 使用 cookie 将所有请求粘贴到特定服务器 "*/ "LoadBalancerOptions": { "Type": "LeastConnection" /*请求最少的服务发送新请求*/ }, /*缓存*/ "FileCacheOptions": { "TtlSeconds": 5, //过期时间 "Region": "productcache" }, /*限流*/ "RateLimitOptions": { "ClientWhitelist": [ "SuperClient" ], //白名单中的客户端可以不受限流的影响 "EnableRateLimiting": true, //是否限流 "Period": "5s", //限流的单位时间 "PeriodTimespan": 2, //请求上限多少秒后可以重试 "Limit": 1 //定义的时间内可以发出的最大请求数 }, /*熔断/超时 超时就是网关请求服务时可容忍的最长响应时间。 熔断的意思就是当请求某个服务的异常次数达到一定量时, 那么网关在一定时间内就不再对这个服务发起请求了,直接熔断*/ "QoSOptions": { "ExceptionsAllowedBeforeBreaking": 3, //发生错误的次数 "DurationOfBreak": 10000, //熔断时间 "TimeoutValue": 5000 //请求超过 5 秒,它将自动超时。 } }, { "DownstreamPathTemplate": "/order/{xx}", /*请求方式*/ "DownstreamScheme": "http", /*下游服务的主机和端口*/ "ServiceName": "orderservice", "LoadBalancerOptions": { "Type": "LeastConnection" }, "UpstreamPathTemplate": "/api/order/{xx}", "UpstreamHttpMethod": [ "Get", "Post" ] } ], "GlobalConfiguration": { /*ocelot网关将要运行的地址*/ "BaseUrl": "http://localhost:4000", "ServiceDiscoveryProvider": { "Scheme": "http", "Host": "localhost", "Port": 8500, "Type": "Consul" }, "RateLimitOptions": { "DisableRateLimitHeaders": false, //是否禁用X-Rate-Limit和Retry-After标头 "QuotaExceededMessage": "{\"res_code\":\"999\",\"res_msg\":\"请求中\"}", //请求达到上限时返回 "HttpStatusCode": 999, //HTTP状态代码 "ClientIdHeader": "Test" } } }
三,JWT的引用配置与认证
1 ,第一步老规矩Nugget 获取JWT
2,添加了一个帮助类:
public class JWtHelper {
/*生成token*/ public static string JwtEncrypt(string phone, string uid, string openid, string encrypt_key) { var token = ""; try { var claims = new[] { new Claim("openid", openid), new Claim("phone", phone), new Claim("uid", uid),}; var key = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(encrypt_key)); var credentials = new SigningCredentials(key, SecurityAlgorithms.HmacSha256); var jwtToken = new JwtSecurityToken("MER", "API", claims, expires: DateTime.Now.AddYears(1), signingCredentials: credentials); token = new JwtSecurityTokenHandler().WriteToken(jwtToken); } catch (Exception) { throw; } return token; } /*解析token*/ public static string JwtDecrypt(string token, string encrypt_key) { var josn = ""; try { var param = new TokenValidationParameters { ValidateIssuerSigningKey = true, IssuerSigningKey = new SymmetricSecurityKey(Encoding.ASCII.GetBytes(encrypt_key)), ValidateIssuer = true, ValidIssuers = new string[] { "ASD123", "MER"}, ValidateAudience = true, ValidAudience = "API", ValidateLifetime = true, ClockSkew = TimeSpan.FromMinutes(5) }; SecurityToken security; var principal = new JwtSecurityTokenHandler().ValidateToken(token, param, out security); if (principal != null) { var exp = principal.Claims.FirstOrDefault(c => c.Type.Equals("exp"))?.Value; var uid = principal.Claims.FirstOrDefault(c => c.Type.Equals("uid"))?.Value; var phone = principal.Claims.FirstOrDefault(c => c.Type.Equals("phone"))?.Value; var openid = principal.Claims.FirstOrDefault(c => c.Type.Equals("openid"))?.Value; josn = JsonConvert.SerializeObject(new { openid, phone, uid, exp }); } } catch (Exception ex) { return null; } return josn; } }
ps:这个帮助类只是为了看看效果,测试类随便编写能不能再生产环境使用自行考虑。
3,添加Jwt中间件
public class JwtSafeMiddleware { private readonly RequestDelegate _next; public IConfiguration _configuration; public JwtSafeMiddleware(RequestDelegate next, IConfiguration configuration) { _next = next; _configuration = configuration; } public async Task Invoke(HttpContext context) { //请求不走jwt校验的一种方式:识别url //if(!context.Request.Path.Value.StartsWith("/auth")) context.Response.ContentType = "application/json"; if (context.Request.Method == "GET" || context.Request.Method == "POST") { string token = context.Request.Headers["token"].FirstOrDefault(); if (string.IsNullOrEmpty(token)) { context.Response.StatusCode = 401; //401未授权 var json = JsonConvert.SerializeObject(new { res_code = 401, res_msg = "token为空!" }); await context.Response.WriteAsync(json); return; } //校验auth的正确性 var result = JWtHelper.JwtDecrypt(token, _configuration["SecretKey"]); if (result == "expired") { context.Response.StatusCode = 666; var json = JsonConvert.SerializeObject(new { res_code = 666, res_msg = "参数已经过期!" }); await context.Response.WriteAsync(json); return; } else { //校验通过 } } await _next.Invoke(context); } }
最后在Startup中的Configure方法注册:app.UseMiddleware<JwtSafeMiddleware>();
下一篇 微服务中的CAP
--------to be continue --------