怎么把IdentityServer放到Ocelot网关后面？

1. 尝试

在大多数项目中，可能gateway的域名和sso登录认证的域名是两个，网关只负责验证token，然后决定是否放行。

但如果只有一个网关域名，且这个域名想包揽全局，签发token的任务它也想做该怎么弄呢？

这个时候我们就可以通过配置Ocelot的Route实现：

{
      "UpstreamPathTemplate": "/{everything}",
      "UpstreamHttpMethod": [ "Get", "Post", "Delete", "Put" ],

      "DownstreamPathTemplate": "/{everything}",
      "DownstreamScheme": "http",
      "DownstreamHostAndPorts": [
        {
          "Host": "insight-identity",
          "Port": 80
        }
      ]
    }

以上是配置将请求转发到IdentityServer应用的示例，其中insight-identity是IdentityServer的内网域名。

2. 问题

当我们把IdentityServer项目和Ocelot项目都跑起来之后，会发现能够进入到IdentityServer的主页。

看起来貌似一切都正常。
但是如果从[discovery document]点进去(或输入网址http://www.example.com/.well-known/openid-configuration)之后会发现：

IdentityServer的base address并不是网关的域名，而是内网域名。这样就会引起一个问题，当用户请求token的时候就会请求到这个内网域名上，而这个域名在外网上并不通。

3. 解决

那么该如何解决这个问题呢？其实只需要设置下使用转发头就可以了，因为IdentityServer里的base address使用的是请求头里的Host。

所以在IdentityServer项目中添加如下代码即可：

services.Configure<ForwardedHeadersOptions>(opt =>
{
    opt.ForwardedHeaders = ForwardedHeaders.XForwardedFor | ForwardedHeaders.XForwardedProto | ForwardedHeaders.XForwardedHost;
    opt.KnownNetworks.Clear();
    opt.KnownProxies.Clear();
});

if (!app.Environment.IsDevelopment())
{
    app.UseExceptionHandler("/Error");
}
app.UseForwardedHeaders();
app.UseStaticFiles();
//...

---

如果还是不行，尝试配置ocelot，增加UpstreamHeaderTransform.X-Forwarded-Host

{
  "UpstreamPathTemplate": "/{identityeverything}",
  "UpstreamHttpMethod": [ "Get", "Post", "Put", "Delete" ],
  "UpstreamHeaderTransform": {
    //"X-Forwarded-For": "{RemoteIpAddress}",
    "X-Forwarded-Host": "www.gateway-domain.com" //{BaseUrl}
    //"X-Forwarded-Proto": "https"
  },
  "DownstreamPathTemplate": "/{identityeverything}",
  "DownstreamScheme": "http",
  "DownstreamHostAndPorts": [
    {
      "Host": "10.10.10.127",
      "Port": 8080
    }
  ]
},

---

参考：
how to change BaseUrl of the Identityserver
public origin is not found in options in v4.x
配置 ASP.NET Core 以使用代理服务器和负载均衡器