.NET Core微服务之基于Ocelot+IdentityServer实现统一验证与授权

最新推荐文章于 2023-04-24 18:45:58 发布
最新推荐文章于 2023-04-24 18:45:58 发布
阅读量3.5k 收藏 5
点赞数 1

一、案例结构总览

640?wx_fmt=png

  这里,假设我们有两个客户端(一个Web网站,一个移动App),他们要使用系统,需要先向IdentityService进行Login以进行验证并获取Token,在IdentityService的验证过程中会访问数据库以验证。然后再带上Token通过API网关去访问具体的API Service。这里我们的IdentityService基于IdentityServer4开发,它具有统一登录验证和授权的功能。当然,我们也可以将统一登录验证独立出来,写成一个单独的API Service,托管在API网关中,这里我不想太麻烦,便直接将其也写在了IdentityService中。

二、改写API Gateway

  这里主要基于前两篇已经搭好的API Gateway进行改写,如不熟悉,可以先浏览前两篇文章:Part 1和Part 2。

2.1 配置文件的改动

640?wx_fmt=gif

  ......  
  "AuthenticationOptions": {    "AuthenticationProviderKey": "ClientServiceKey",    "AllowedScopes": []
  }
  ......  
  "AuthenticationOptions": {    "AuthenticationProviderKey": "ProductServiceKey",    "AllowedScopes": []
  }
  ......  

640?wx_fmt=gif

  上面分别为两个示例API Service增加Authentication的选项,为其设置ProviderKey。下面会对不同的路由规则设置的ProviderKey设置具体的验证方式。

2.2 改写StartUp类

640?wx_fmt=gif

    public void ConfigureServices(IServiceCollection services)
    {        // IdentityServer
        #region IdentityServerAuthenticationOptions => need to refactor
        Action<IdentityServerAuthenticationOptions> isaOptClient = option =>
            {
                option.Authority = Configuration["IdentityService:Uri"];
                option.ApiName = "clientservice";
                option.RequireHttpsMetadata = Convert.ToBoolean(Configuration["IdentityService:UseHttps"]);
                option.SupportedTokens = SupportedTokens.Both;
                option.ApiSecret = Configuration["IdentityService:ApiSecrets:clientservice"];
            };

        Action<IdentityServerAuthenticationOptions> isaOptProduct = option =>
        {
            option.Authority = Configuration["IdentityService:Uri"];
            option.ApiName = "productservice";
            option.RequireHttpsMetadata = Convert.ToBoolean(Configuration["IdentityService:UseHttps"]);
            option.SupportedTokens = SupportedTokens.Both;
            option.ApiSecret = Configuration["IdentityService:ApiSecrets:productservice"];
        }; 
        #endregion

        services.AddAuthentication()
            .AddIdentityServerAuthentication("ClientServiceKey", isaOptClient)
            .AddIdentityServerAuthentication("ProductServiceKey", isaOptProduct);        // Ocelot        services.AddOcelot(Configuration);
        ......       
    }

640?wx_fmt=gif

  这里的ApiName主要对应于IdentityService中的ApiResource中定义的ApiName。这里用到的配置文件定义如下:

640?wx_fmt=gif View Code

  这里的定义方式,我暂时还没想好怎么重构,不过肯定是需要重构的,不然这样一个一个写比较繁琐,且不利于配置。

三、新增IdentityService

这里我们会基于之前基于IdentityServer的两篇文章,新增一个IdentityService,不熟悉的朋友可以先浏览一下Part 1和Part 2。

3.1 准备工作

  新建一个ASP.NET Core Web API项目,绑定端口5100,NuGet安装IdentityServer4。配置好证书,并设置其为“较新则复制”,以便能够在生成目录中读取到。

3.2 定义一个InMemoryConfiguration用于测试

640?wx_fmt=gif

    /// <summary>
    /// One In-Memory Configuration for IdentityServer => Just for Demo Use    /// </summary>
    public class InMemoryConfiguration
    {        public static IConfiguration Configuration { get; set; }        /// <summary>
        /// Define which APIs will use this IdentityServer        /// </summary>
        /// <returns></returns>
        public static IEnumerable<ApiResource> GetApiResources()
        {            return new[]
            {                new ApiResource("clientservice", "CAS Client Service"),                new ApiResource("productservice", "CAS Product Service"),                new ApiResource("agentservice", "CAS Agent Service")
            };
        }        /// <summary>
        /// Define which Apps will use thie IdentityServer        /// </summary>
        /// <returns></returns>
        public static IEnumerable<Client> GetClients()
        {            return new[]
            {                new Client
                {
                    ClientId = "cas.sg.web.nb",
                    ClientName = "CAS NB System MPA Client",
                    ClientSecrets = new [] { new Secret("websecret".Sha256()) },
                    AllowedGrantTypes = GrantTypes.ResourceOwnerPassword,
                    AllowedScopes = new [] { "clientservice", "productservice",
                        IdentityServerConstants.StandardScopes.OpenId,
                        IdentityServerConstants.StandardScopes.Profile }
                },                new Client
                {
                    ClientId = "cas.sg.mobile.nb",
                    ClientName = "CAS NB System Mobile App Client",
                    ClientSecrets = new [] { new Secret("mobilesecret".Sha256()) },
                    AllowedGrantTypes = GrantTypes.ResourceOwnerPassword,
                    AllowedScopes = new [] { "productservice",
                        IdentityServerConstants.StandardScopes.OpenId,
                        IdentityServerConstants.StandardScopes.Profile }
                },                new Client
                {
                    ClientId = "cas.sg.spa.nb",
                    ClientName = "CAS NB System SPA Client",
                    ClientSecrets = new [] { new Secret("spasecret".Sha256()) },
                    AllowedGrantTypes = GrantTypes.ResourceOwnerPassword,
                    AllowedScopes = new [] { "agentservice", "clientservice", "productservice",
                        IdentityServerConstants.StandardScopes.OpenId,
                        IdentityServerConstants.StandardScopes.Profile }
                },                new Client
                {
                    ClientId = "cas.sg.mvc.nb.implicit",
                    ClientName = "CAS NB System MVC App Client",
                    AllowedGrantTypes = GrantTypes.Implicit,
                    RedirectUris = { Configuration["Clients:MvcClient:RedirectUri"] },
                    PostLogoutRedirectUris = { Configuration["Clients:MvcClient:PostLogoutRedirectUri"] },
                    AllowedScopes = new [] {
                        IdentityServerConstants.StandardScopes.OpenId,
                        IdentityServerConstants.StandardScopes.Profile,                        "agentservice", "clientservice", "productservice"
                    },                    //AccessTokenLifetime = 3600, // one hour
                    AllowAccessTokensViaBrowser = true // can return access_token to this client                }
            };
        }        /// <summary>
        /// Define which IdentityResources will use this IdentityServer        /// </summary>
        /// <returns></returns>
        public static IEnumerable<IdentityResource> GetIdentityResources()
        {            return new List<IdentityResource>
            {                new IdentityResources.OpenId(),                new IdentityResources.Profile(),
            };
        }
    }

640?wx_fmt=gif

  这里使用了上一篇的内容,不再解释。实际环境中,则应该考虑从NoSQL或数据库中读取。

3.3 定义一个ResourceOwnerPasswordValidator

  在IdentityServer中,要实现自定义的验证用户名和密码,需要实现一个接口:IResourceOwnerPasswordValidator

640?wx_fmt=gif

    public class ResourceOwnerPasswordValidator : IResourceOwnerPasswordValidator
    {        private ILoginUserService loginUserService;        public ResourceOwnerPasswordValidator(ILoginUserService _loginUserService)
        {            this.loginUserService = _loginUserService;
        }        public Task ValidateAsync(ResourceOwnerPasswordValidationContext context)
        {
            LoginUser loginUser = null;            bool isAuthenticated = loginUserService.Authenticate(context.UserName, context.Password, out loginUser);            if (!isAuthenticated)
            {
                context.Result = new GrantValidationResult(TokenRequestErrors.InvalidGrant, "Invalid client credential");
            }            else
            {
                context.Result = new GrantValidationResult(
                    subject : context.UserName,
                    authenticationMethod : "custom",
                    claims : new Claim[] {                        new Claim("Name", context.UserName),                        new Claim("Id", loginUser.Id.ToString()),                        new Claim("RealName", loginUser.RealName),                        new Claim("Email", loginUser.Email)
                    }
                );
            }            return Task.CompletedTask;
        }
    }

640?wx_fmt=gif

  这里的ValidateAsync方法中(你也可以把它写成异步的方式,这里使用的是同步的方式),会调用EF去访问数据库进行验证,数据库的定义如下(密码应该做加密,这里只做demo,没用弄):

  640?wx_fmt=png

  至于EF部分,则是一个典型的简单的Service调用Repository的逻辑,下面只贴Repository部分:

640?wx_fmt=gif View Code

  其他具体逻辑请参考示例代码。

3.4 改写StarUp类

640?wx_fmt=gif

    public void ConfigureServices(IServiceCollection services)
    {        // IoC - DbContext
        services.AddDbContextPool<IdentityDbContext>(
            options => options.UseSqlServer(Configuration["DB:Dev"]));        // IoC - Service & Repository
        services.AddScoped<ILoginUserService, LoginUserService>();
        services.AddScoped<ILoginUserRepository, LoginUserRepository>();        // IdentityServer4
        string basePath = PlatformServices.Default.Application.ApplicationBasePath;
        InMemoryConfiguration.Configuration = this.Configuration;
        services.AddIdentityServer()
            .AddSigningCredential(new X509Certificate2(Path.Combine(basePath,
                Configuration["Certificates:CerPath"]),
                Configuration["Certificates:Password"]))            //.AddTestUsers(InMemoryConfiguration.GetTestUsers().ToList())            .AddInMemoryIdentityResources(InMemoryConfiguration.GetIdentityResources())
            .AddInMemoryApiResources(InMemoryConfiguration.GetApiResources())
            .AddInMemoryClients(InMemoryConfiguration.GetClients())            .AddResourceOwnerValidator<ResourceOwnerPasswordValidator>()
            .AddProfileService<ProfileService>();
        ......
    }

640?wx_fmt=gif

  这里高亮的是新增的部分,为了实现自定义验证。关于ProfileService的定义如下:

640?wx_fmt=gif View Code

3.5 新增统一Login入口

  这里新增一个LoginController:

640?wx_fmt=gif

    [Produces("application/json")]
    [Route("api/Login")]    public class LoginController : Controller
    {        private IConfiguration configuration;        public LoginController(IConfiguration _configuration)
        {
            configuration = _configuration;
        }

        [HttpPost]        public async Task<ActionResult> RequestToken([FromBody]LoginRequestParam model)
        {
            Dictionary<string, string> dict = new Dictionary<string, string>();
            dict["client_id"] = model.ClientId;
            dict["client_secret"] = configuration[$"IdentityClients:{model.ClientId}:ClientSecret"];
            dict["grant_type"] = configuration[$"IdentityClients:{model.ClientId}:GrantType"];
            dict["username"] = model.UserName;
            dict["password"] = model.Password;            using (HttpClient http = new HttpClient())            using (var content = new FormUrlEncodedContent(dict))
            {                var msg = await http.PostAsync(configuration["IdentityService:TokenUri"], content);                if (!msg.IsSuccessStatusCode)
                {                    return StatusCode(Convert.ToInt32(msg.StatusCode));
                }                string result = await msg.Content.ReadAsStringAsync();                return Content(result, "application/json");
            }
        }
    }

640?wx_fmt=gif

  这里假设客户端会传递用户名,密码以及客户端ID(ClientId,比如上面InMemoryConfiguration中的cas.sg.web.nb或cas.sg.mobile.nb)。然后构造参数再调用connect/token接口进行身份验证和获取token。这里将client_secret等机密信息封装到了服务器端,无须客户端传递(对于机密信息一般也不会让客户端知道):

640?wx_fmt=gif

  "IdentityClients": {    "cas.sg.web.nb": {      "ClientSecret": "websecret",      "GrantType": "password"
    },    "cas.sg.mobile.nb": {      "ClientSecret": "mobilesecret",      "GrantType": "password"
    }
  }

640?wx_fmt=gif

四、改写业务API Service

4.1 ClientService

  (1)安装IdentityServer4.AccessTokenValidation

NuGet>Install-Package IdentityServer4.AccessTokenValidation

  (2)改写StartUp类

640?wx_fmt=gif

    public IServiceProvider ConfigureServices(IServiceCollection services)
    {
        ......        // IdentityServer
        services.AddAuthentication(Configuration["IdentityService:DefaultScheme"])
            .AddIdentityServerAuthentication(options =>
            {
                options.Authority = Configuration["IdentityService:Uri"];
                options.RequireHttpsMetadata = Convert.ToBoolean(Configuration["IdentityService:UseHttps"]);
            });

        ......
    }

640?wx_fmt=gif

  这里配置文件的定义如下:

640?wx_fmt=gif

  "IdentityService": {    "Uri": "http://localhost:5100",    "DefaultScheme":  "Bearer",    "UseHttps": false,    "ApiSecret": "clientsecret"
  }

640?wx_fmt=gif

4.2 ProductService

  与ClientService一致,请参考示例代码。

五、测试

5.1 测试Client: cas.sg.web.nb

  (1)统一验证&获取token

  640?wx_fmt=png

  (2)访问clientservice (by API网关)

  640?wx_fmt=png

  (3)访问productservice(by API网关)

  640?wx_fmt=png

5.2 测试Client: cas.sg.mobile.nb

  由于在IdentityService中我们定义了一个mobile的客户端,但是其访问权限只有productservice,所以我们来测试一下:

  (1)统一验证&获取token

  640?wx_fmt=png

  (2)访问ProductService(by API网关)

  640?wx_fmt=png

  (3)访问ClientService(by API网关) => 401 Unauthorized

  640?wx_fmt=png

六、小结

  本篇主要基于前面Ocelot和IdentityServer的文章的基础之上,将Ocelot和IdentityServer进行结合,通过建立IdentityService进行统一的身份验证和授权,最后演示了一个案例以说明如何实现。不过,本篇实现的Demo还存在诸多不足,比如需要重构的代码较多如网关中各个Api的验证选项的注册,没有对各个请求做用户角色和权限的验证等等,相信随着研究和深入的深入,这些都可以逐步解决。后续会探索一下数据一致性的基本知识以及框架使用,到时再做一些分享。

示例代码

  Click Here => 点我进入GitHub

参考资料

  杨中科,《.NET Core微服务介绍课程》

  640?wx_fmt=jpeg


dotNET跨平台
关注
Consul+Ocelot搭建微服务实践--身份认证(Authentication)
Jonny的博客
06-16 2220
文章目录1、创建服务1.1创建Service11.2创建Service22、Ocelot配置服务3、安装IdentityServer4.AccessTokenValidation4、配置服务认证5、进行测试6、总结7、附录 上一篇搭建了IdentityServer认证中心服务,并配置到了Ocelot中去,只是展示了简单的路由配置请求,但是并没有实际继承到服务中去。集成到Ocelot中去应该是让Oc...
.NetCore配置Gateway网关和Consul
zhou_xuexi的专栏
07-24 1279
接着上一篇配置完Consul,地址为https://mp.csdn.net/console/editor/html/107408473,下面继续配置Gateway和Consul 首先创建一个Core API项目,然后Nuget安装OcelotOcelot.Provider.Consul,安装完后Startup代码如下 public class Startup { public Startup(IConfiguration configuration) {
dotnet-NETCoreOcelotIdentityServer4Consul基础架构实现
08-15
.NET Core Ocelot IdentityServer4 Consul 基础架构实现
.NET Core + Ocelot + IdentityServer4 + Consul 基础架构实现
weixin_30908103的博客
02-26 805
先决条件 关于 Ocelot 针对使用 .NET 开发微服务架构或者面向服务架构提供一个统一访问系统的组件。 参考 本文将使用 Ocelot 构建统一入口的 Gateway。 关于 IdentityServer4 IdentityServer4 是一个 OpenID Connect 和 OAuth 2.0 框架用于 ASP.NET CoreIdentityServer4 在你的应用程序...
Angular SPA基于Ocelot API网关与IdentityServer4的身份认证与授权(一)
dotNET跨平台
03-18 556
好吧,这个题目我也想了很久,不知道如何用最简单的几个字来概括这篇文章,原本打算取名《Angular单页面应用基于Ocelot API网关与Identit...
.net core学习微服务ocelot集成IdentityServer4
最新发布
qq_44994764的博客
04-24 914
注意:AddIdentityServerAuthentication方法第一个参数要和ocelot中的AuthenticationProviderKey一致,options.ApiName要和id4服务config定义的ApiResources的Name一致。具体属性参考官网,默认会新增alice和bob两个测试用户,这里客户端我就写了一个,使用的授权码模式,简单来说就是用户授权通过后就可以获取到access_token,然后根据access_token去访问受保护的资源。
.NET Core项目实战-统一认证平台】第十三章 授权篇-如何强制有效令牌过期
weixin_30640291的博客
01-14 264
.NET Core项目实战-统一认证平台】第十三章 授权篇-如何强制有效令牌过期 原文:【.NET Core项目实战-统一认证平台】第十三章 授权篇-如何强制有效令牌过期【.NET Core项目实战-统一认证平台】开篇及目录索引 上一篇我介绍了JWT的生成验证及流程内容,相信大家也对JWT非常熟悉了,今天将从一个小众的需求出发,介绍如何...
Consul+Ocelot+.NetCore Api+IdentityServer 4
12-28
IdentityServer 4可以与各种数据库(如SQL Server、MongoDB等)集成,支持JWT(JSON Web Tokens)和其他令牌类型,确保了微服务架构中的身份认证和授权需求。 在这个项目中,首先,开发者会设置一个Consul集群,每...
.NET Core微服务之基于IdentityServer建立授权验证服务
dz45693的专栏
10-22 2590
Tip:此篇已加入.NET Core微服务基础系列文章索引 一、IdentityServer的预备知识   要学习IdentityServer,事先得了解一下基于Token的验证体系,这是一个庞大的主题,涉及到Token,OAuth&OpenID,JWT,协议规范等等等等,园子里已经有很多介绍的文章了,个人觉得solenovex的这一篇文章《学习IdentityServer4的预备知...
IdentityServer4+Ocelot+.netcoreAPI的例子
08-18
描述".net core IdentityServer4+Ocelot+.netcoreAPI"进一步确认了技术栈,即基于.NET Core框架,具体包括用于身份验证IdentityServer4,API路由和负载均衡的Ocelot,以及用.NET Core构建的API服务。 **知识点...
04 .NET CORE 2.2 使用OCELOT -- identity认证授权
Unknowncheats的博客
05-17 341
修改接口项目   在上次的项目基础上,分别修改两个api项目的startup.cs    public void ConfigureServices(IServiceCollection services) { var audienceConfig = Configuration.GetSection("Audience"); var signingKey = new SymmetricSecurityKey(Encoding.A...
.Net Core 基于Ocelot开发企业级API网关。来自腾讯张善友分享。
09-12
总之,企业级API网关在微服务架构中扮演着核心角色,而Ocelot作为一个基于.NET Core的开源API网关,提供了构建高性能、可扩展企业级API网关所需的全套工具和配置选项。通过学习和掌握Ocelot,开发者能够有效地解决...
怎么把IdentityServer放到Ocelot网关后面?
catshitone的专栏
01-06 539
在大多数项目中,可能gateway的域名和sso登录认证的域名是两个,网关只负责验证token,然后决定是否放行。 但如果只有一个网关域名,且这个域名想包揽全局,签发token的任务它也想做该怎么弄呢? 这个时候我们就可以通过配置Ocelot的`Route`实现
.NET Core微服务实战-统一身份认证】开篇及目录索引
weixin_33712881的博客
11-20 236
原文:【.NET Core微服务实战-统一身份认证】开篇及目录索引简介 ​ 学习.NETCORE也有1年多时间了,发现.NETCORE项目实战系列教程很少,都是介绍开源项目或基础教程,对于那些观望的朋友不能形成很好的学习思路,遇到问题怕无法得到解决而不敢再实际项目中尝试,今天我想通过项目系列实战的方式,进一步推广应用.NETCORE,让大家感受它的魅力以及已经无所不能的神奇魔力,我会从实际项目开...
.NetCore统一认证授权学习——Run(1)
世界既不黑也不白,而是一道精致的灰。
06-29 444
项目地址工具:vs2019及以上 SDK:Net5及以上 API测试工具:Postman
.Net Core-Ocelot的使用四:认证与授权
This is Fourteen
03-31 754
1、NuGet安装:Microsoft.AspNetCore.Authentication.JwtBearer 2、添加引用 using Microsoft.AspNetCore.Authentication.JwtBearer; 一、Startup.cs中注册身份验证服务 public void ConfigureServices(IServiceCollection services) ...
ASP .net core 整合 nacos 通过Spring Cloud Gateway 网关访问
weixin_45183896的博客
07-20 1326
ASP .net core 整合 nacos 通过Spring Cloud Gateway 网关访问 使用vs创建web项目 选择api 注意这里要取消掉Https配置否则使用网关转发也需要配置为https请求这里我们直接取消 添加nacos支持依赖包nacos-sdk-csharp-unofficial.AspNetCore 工具——NuGet包管理器——管理解决方法的NuGet程序包 注:版本选用0.2.6(.NET Core版本为3.1),最新版本0.2.7似乎不兼容无法通过网关调用仅仅只能注册,
从Client应用场景介绍IdentityServer4(五)
weixin_30596735的博客
12-27 442
从Client应用场景介绍IdentityServer4(五) 原文:从Client应用场景介绍IdentityServer4(五)本节将在第四节基础上介绍如何实现IdentityServer4从数据库获取User进行验证,并对Claim进行权限设置。 一、新建Web API资源服务,命名为ResourceAPI (1)新建API项目,...
ASP.NET Core+Nacos+Spring Cloud Gateway项目
xwnxwn的专栏
03-10 553
引用地址:搭建一套ASP.NET Core+Nacos+Spring Cloud Gateway项目 前言# 伴随着随着微服务概念的不断盛行,与之对应的各种解决方案也层出不穷。这毕竟是一个信息大爆发的时代,各种编程语言大行其道,各有各的优势。但是有一点未曾改变,那就是他们服务的方式,工作的时候各司其职,但是需要提供服务的时候必须要高度统一,这也是微服务的概念之一。日常的工作学习中,我个人更喜欢通用的解决方案,特别是能将不同编程语言亦或者不同编程框架整合到一起的那种,这种解决方案拉近了编程语言之间...
.NetCore的网关Ocelot功能演示
主宰
04-05 1462
前言 网关(Gateway)在微服务架构中至关重要,可以将其理解为是外部客户端(前端、MVC后台等调用方)与后台服务的连接点,通过这层可以做统一的处理,比如路由、身份认证和授权、服务治理等; 网关的好处: 统一入口,调用方(客户端)不在为调哪个服务而头大,统一入口即可,由网关路由到对应后台服务; 统一处理公共逻辑,比如认证和授权,避免相同逻辑多处实现,易于维护; 对后台服务可以做负载均衡,根据指定的负载算法找到合适的后台服务调用,而这些细节调用方都不用理会,只管调就行啦;
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值