1. 尝试
在大多数项目中,可能gateway的域名和sso登录认证的域名是两个,网关只负责验证token,然后决定是否放行。
但如果只有一个网关域名,且这个域名想包揽全局,签发token的任务它也想做该怎么弄呢?
这个时候我们就可以通过配置Ocelot的Route
实现:
{
"UpstreamPathTemplate": "/{everything}",
"UpstreamHttpMethod": [ "Get", "Post", "Delete", "Put" ],
"DownstreamPathTemplate": "/{everything}",
"DownstreamScheme": "http",
"DownstreamHostAndPorts": [
{
"Host": "insight-identity",
"Port": 80
}
]
}
以上是配置将请求转发到IdentityServer应用的示例,其中insight-identity
是IdentityServer的内网域名。
2. 问题
当我们把IdentityServer项目和Ocelot项目都跑起来之后,会发现能够进入到IdentityServer的主页。
看起来貌似一切都正常。
但是如果从[discovery document]
点进去(或输入网址http://www.example.com/.well-known/openid-configuration)之后会发现:
IdentityServer的base address并不是网关的域名,而是内网域名。这样就会引起一个问题,当用户请求token的时候就会请求到这个内网域名上,而这个域名在外网上并不通。
3. 解决
那么该如何解决这个问题呢?其实只需要设置下使用转发头就可以了,因为IdentityServer里的base address使用的是请求头里的Host
。
所以在IdentityServer项目中添加如下代码即可:
services.Configure<ForwardedHeadersOptions>(opt =>
{
opt.ForwardedHeaders = ForwardedHeaders.XForwardedFor | ForwardedHeaders.XForwardedProto | ForwardedHeaders.XForwardedHost;
opt.KnownNetworks.Clear();
opt.KnownProxies.Clear();
});
if (!app.Environment.IsDevelopment())
{
app.UseExceptionHandler("/Error");
}
app.UseForwardedHeaders();
app.UseStaticFiles();
//...
如果还是不行,尝试配置ocelot,增加UpstreamHeaderTransform.X-Forwarded-Host
{
"UpstreamPathTemplate": "/{identityeverything}",
"UpstreamHttpMethod": [ "Get", "Post", "Put", "Delete" ],
"UpstreamHeaderTransform": {
//"X-Forwarded-For": "{RemoteIpAddress}",
"X-Forwarded-Host": "www.gateway-domain.com" //{BaseUrl}
//"X-Forwarded-Proto": "https"
},
"DownstreamPathTemplate": "/{identityeverything}",
"DownstreamScheme": "http",
"DownstreamHostAndPorts": [
{
"Host": "10.10.10.127",
"Port": 8080
}
]
},
参考:
how to change BaseUrl of the Identityserver
public origin is not found in options in v4.x
配置 ASP.NET Core 以使用代理服务器和负载均衡器