02-07 .net core 3.1 使用 Ocelot搭建api网关添加鉴权认证

最新推荐文章于 2022-10-17 11:04:31 发布
最新推荐文章于 2022-10-17 11:04:31 发布
阅读量1.8k 收藏 8
点赞数
分类专栏: .net core .net core 网关 文章标签: c#
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39305029/article/details/104556763
版权
前言

通过使用IdentityServer4给网关添加鉴权认证可以提高api的安全性。

在阅读本文之前,建议先阅读 02-01 .net core 3.1 使用 Ocelot搭建api网关

一、添加一个webApi项目,命名为IdentityServer(随意)
1、 然后用nuget安装IdentityServer4 包(如何操作不再赘述)

在这里插入图片描述

2、添加一个Config.cs(类名随意)
using IdentityServer4;
using IdentityServer4.Models;
using System;
using System.Collections.Generic;
using System.Linq;
using System.Threading.Tasks;

namespace IdentityServer
{
    public static class Config
    {
        public static IEnumerable<IdentityResource> GetIdentityResourceResources()
        {
            return new List<IdentityResource>
            {
                new IdentityResources.OpenId(), //必须要添加,否则报无效的scope错误
            };
        }
        // scopes define the API resources in your system
        public static IEnumerable<ApiResource> GetApiResources()
        {
            //可访问的API资源(资源名,资源描述)
            return new List<ApiResource>
            {
                new ApiResource("FirstApi", "FirstApi"),
                new ApiResource("SecondApi", "SecondApi")
            };
        }

        public static IEnumerable<Client> GetClients()
        {
            return new List<Client>
            {
                new Client
                {
                    ClientId = "firstClient", //访问客户端Id,必须唯一
                    //使用客户端授权模式,客户端只需要clientid和secrets就可以访问对应的api资源。
                    AllowedGrantTypes = GrantTypes.ClientCredentials,
                    ClientSecrets =
                    {
                        new Secret("secret".Sha256())
                    },
                    AllowedScopes = { "FirstApi", IdentityServerConstants.StandardScopes.OpenId,IdentityServerConstants.StandardScopes.Profile }
                },
                new  Client
                {
                    ClientId = "secondClient",
                    ClientSecrets = new [] { new Secret("secret".Sha256()) },
                    AllowedGrantTypes = GrantTypes.ClientCredentials,
                    AllowedScopes = { "SecondApi", IdentityServerConstants.StandardScopes.OpenId,IdentityServerConstants.StandardScopes.Profile }
                }
            };
        }
    }
}

因为我有两个下游api,所以我添加两个api资源和客户端

3、修改IdentityServer项目Startup.cs中的ConfigureServices方法
public void ConfigureServices(IServiceCollection services)
{
    services.AddControllers();
    //添加鉴权
    services.AddIdentityServer()
            .AddDeveloperSigningCredential()
            .AddInMemoryApiResources(Config.GetApiResources())
            .AddInMemoryClients(Config.GetClients());
}

如图
在这里插入图片描述

4、在IdentityServer项目Startup.cs中的Configure方法的最前面加上app.UseIdentityServer();也就是方法http管道中在这里插入图片描述
5、在IdentityServer项目添加一个TokenApiController,用来获取token

这里需要注意的是2.2.0及以下版本IdentityServer4和最新版的获取token的方式有所不同
(1)2.2.0以上版本IdentityServer4获取token的方式之一

using System;
using System.Collections.Generic;
using System.Linq;
using System.Net.Http;
using System.Threading.Tasks;
using IdentityModel.Client;
using IdentityServer4.Models;
using Microsoft.AspNetCore.Mvc;
using Newtonsoft.Json.Linq;

namespace IdentityServer
{
    /// <summary>
    /// 获取token
    /// </summary>
    public class TokenApiController : ApiController
    {
        [HttpPost,HttpGet]
        public string GetToken([FromBody]RequestTokenModel model)
        {
            var httpClient = new HttpClient();
            var disco = httpClient.GetDiscoveryDocumentAsync(new DiscoveryDocumentRequest
            {
                Address = $"{ Request.Scheme }://{Request.Host}"
            }).Result;
            if (disco.IsError)
            {
                throw new Exception(disco.Error);
            }
            var tokenResponse = httpClient.RequestClientCredentialsTokenAsync(new ClientCredentialsTokenRequest
            {
                Address = disco.TokenEndpoint,
                ClientId = model.ClientId,
                ClientSecret = model.ClientSecret,
                Scope = model.Scope
            });
            var json = tokenResponse.Result.Json;
            return json.ToString();
        }
    }

    /// <summary>
    /// 请求model
    /// </summary>
    public class RequestTokenModel
    {
        /// <summary>
        /// IdentityServer项目Config.cs的GetClients方法中配置的访问客户端Id
        /// </summary>
        public string ClientId { get; set; }

        /// <summary>
        /// IdentityServer项目Config.cs的GetClients方法中配置的ClientSecrets
        /// </summary>
        public string ClientSecret { get; set; }

        /// <summary>
        /// IdentityServer项目Config.cs的GetClients方法中配置的scope
        /// </summary>
        public string Scope { get; set; }
    }
}

(2)2.2.0及以下版本IdentityServer4获取token方式,仅供参考

public class TokenController : Controller
{
    public async Task<JObject> Get()
    {
        var disco = await DiscoveryClient.GetAsync($"{Request.Scheme}://{Request.Host}");
        if(disco.IsError)
        {
            Console.WriteLine(disco.Error);
            return null;
        }
		string clientId = "client";
		string clientSecret  = "secret";
		string scope = "FirstApi";
        var tokenClient = new TokenClient(disco.TokenEndpoint, clientId , clientSecret );
        var tokenResponse = await tokenClient.RequestClientCredentialsAsync(scope );
        if(tokenResponse.IsError)
        {
            Console.WriteLine(tokenResponse.Error);
            return null;
        }
        return tokenResponse.Json;
    }
}

请求api:http://localhost:5003/TokenApi/GetToken测试一下,如图说明已经拿到客户端firstApi的token了
在这里插入图片描述
如果http获取参数方式是FromForm,则以下面方式传参
在这里插入图片描述
在这里插入图片描述

二、给网关(WebApiGateway项目)集成IdentityServer
1、使用nuget给WebApiGateway项目安装IdentityServer4.AccessTokenValidation包,用于验证IdentityServer4中的JWT和引用令牌
2、在 WebApiGateway项目Startup.cs 的 ConfigureServices 中注册两个认证方案,在Configure 中配置IdentityServer服务。

注意:注册认证方案最好是加在ConfigureServices方法的最前面,配置IdentityServer服务最好是放在app.UseOcelot();后面

public void ConfigureServices(IServiceCollection services)
{
    //注册认证方案
    services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme)
            .AddIdentityServerAuthentication("firstApiKey", x =>
            {
                x.ApiName = "FirstApi"; // 这个是认证服务(IdentityServer项目)Config.cs 的 GetApiResources方法中配置的api名称
                x.Authority = "http://localhost:5003";  // 这个是认证服务(IdentityServer项目)的地址
                x.RequireHttpsMetadata = false;
            }).AddIdentityServerAuthentication("secondApiKey", y =>
            {
                y.ApiName = "SecondApi";   // 这个是认证服务(IdentityServer项目)Config.cs 的 GetApiResources方法中配置的api名称
                y.Authority = "http://localhost:5003";  // 这个是认证服务(IdentityServer项目)的地址
                y.RequireHttpsMetadata = false;
            });

    //添加Ocelot,注意configuration.json的路径,我本身就放在了根路径下
    services.AddOcelot(new ConfigurationBuilder()
        .AddJsonFile("configuration.json", true, true).Build())
        .AddPolly() //添加 Ocelot.Provider.Polly 实现熔断
        .AddCacheManager(x => x.WithDictionaryHandle());  // 添加 Ocelot.Cache.CacheManager 实现缓存
    
    services.AddControllers();
}


public void Configure(IApplicationBuilder app, IWebHostEnvironment env)
{
    if (env.IsDevelopment())
    {
        app.UseDeveloperExceptionPage();
    }
    //配置使用Ocelot
    app.UseOcelot();

    //配置IdentityServer服务
    app.UseAuthorization();

    app.UseHttpsRedirection();

    app.UseRouting();

    app.UseAuthorization();

    app.UseEndpoints(endpoints =>
    {
        endpoints.MapControllers();
    });
}

如图
在这里插入图片描述在这里插入图片描述

3、修改WebApiGateway项目的Oeclot配置文件configuration.json,在“ReRoutes”中的下游api对象中添加
//授权信息
"AuthenticationOptions": {
  "AuthenticationProviderKey": "firstApiKey",  //这个key就是在startup.cs中注册的key,不要写错了
  "AllowedScopes": []
}

如图:
在这里插入图片描述
Ocelot会去检查ReRoutes是否配置了AuthenticationOptions节点。如果有会根据配置的认证方案进行身份认证。如果没有则不进行身份认证。

  • AuthenticationProviderKey :是刚才注册的认证方案。
  • AllowedScopes :是 AllowedScopes中配置的授权访问范围。

还需要在configuration.json添加IdentityServer api的网关配置

	// IdentityServer api,用来获取token
    {
      "UpstreamPathTemplate": "/identity/{controller}/{action}",
      "DownstreamPathTemplate": "/{controller}/{action}",
      "UpstreamHttpMethod": [ "GET", "POST", "DELETE", "PUT" ],
      "DownstreamScheme": "http",
      "DownstreamHostAndPorts": [
        {
          "Host": "localhost",
          "Port": 5003
        }
      ]
    },

如图
在这里插入图片描述

4、编译并启动WebApiGateway、IdentityServer、FirstApi、SecondApi四个项目

(1)访问http://localhost:5000/first/firstApi/getmessage,可以看到返回状态为未授权
在这里插入图片描述
(2)先访问http://localhost:5000/identity/TokenApi/GetToken
在这里插入图片描述
(3)获取到token后,在将token加到http://localhost:5000/first/firstApi/getmessage认证中,如图
在这里插入图片描述
(4)换下参数,拿到SecondApi的token
在这里插入图片描述
(5)访问SecondApi
在这里插入图片描述
至此IdentityServer4鉴权的基本用法就尝试成功了。

本系列源码地址

参考文章

IdentityModel最新文档
.Netcore 2.0 Ocelot Api网关教程(5)- 认证和授权
.Net Core使用Ocelot网关(二) -鉴权认证
IdentityServer4客户端获取Token的方法

菜鸟爱飞不飞
关注
  • 0
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
dotnet-OcelotJwtAuthorize一个基于OcelotAPI网关的Jwt验证包
08-15
Ocelot.JwtAuthorize:一个基于 Ocelot API 网关的Jwt验证包
.Net Core使用Ocelot网关(二) -鉴权认证
zhanglong_longlong的专栏
08-31 834
前言 上一章已经简单的介绍了ocelot使用了,但是网关暴露的接口如果什么人都能访问的话安全性就太低啦。所以我们需要去鉴权认证。这里我们使用identityServer4给我们的网关鉴权认证。 创建Identity服务 我们创建一个identity的服务来用于令牌的发放和鉴权。下图是我的项目结构。 Api_Gatewat端口:5000 Api_A端口:5001 Api_B端口:5002 IdentityServer端口:5003 通过nuget添加IdentityServer4的包,.
.NET Core API网关Ocelot统一认证设置(AuthenticationOptions选项)
xiaoxinghappy的散记
08-31 2379
最近在使用Ocelot网关,刚开始了解,网上的资料很多,但是使用时还是碰到很多问题,可能和版本有关,比如老的路由配置是ReRoutes,而新版是Routes。关于网关中的统一认证选项AuthenticationOptions的正确设置方法,我根据网上的资料设置时,总是401错误,无法通过认证,踩了很多坑,经过两天的研究,终于找到了正确的可行的方法。 1、假设有Webapi,地址为 http://localhost:6001/weatherforecast,在网关中的 ocelost.json中配置如下..
Ocelot(四)- 认证与授权
weixin_34067980的博客
05-29 235
Ocelot(四)- 认证与授权 作者:markjiang7m2 原文地址:https://www.cnblogs.com/markjiang7m2/p/10932805.html 源码地址:https://gitee.com/Sevenm2/OcelotDemo 本文是我关于Ocelot系列文章的第四篇,认证与授权。在前面的系列文章中,我们的下游服务接口都是公开的,没有经过任何的认证,只要知...
Ocelot-Consul:.net core Ocelot Consul 实现API网关 服务注册 服务发现 负载均衡
05-14
Ocelot-Consul .net core Ocelot Consul 实现API网关 服务注册 服务发现 负载均衡
ASP.NET Core3.1 Ocelot路由的实现
12-16
1.路由 前一个章节我们已经介绍过Ocelot,相信大家也了解到,Ocelot的主要功能是接收...现在我们根据GitHub贡献者开源项目来学习Ocelot,根据下载下来Ocelot基础项目结构来看,我们能看到有一个网关项目(APIGatew
ASP.NET Core3.1 Ocelot认证的实现
12-16
当客户端通过Ocelot访问下游服务的时候,为了保护下游资源服务器会进行认证鉴权,这时候需要在Ocelot添加认证服务。添加认证服务后,随后Ocelot会基于授权密钥授权每个请求可以访问的资源。用户必须像往常一样在其...
ASP.NET Core3.1 Ocelot负载均衡的实现
12-16
Ocelot可以在每个路由的可用下游服务中实现负载均衡,这使我们更有效地选择下游服务来处理请求。负载均衡类型: LeastConnection:根据服务正在处理请求量的情况来决定哪个服务来处理新请求,即将新请求发送到具有...
APIGatewayDemo:使用Ocelot构建API网关的简单示例
05-27
此存储库包含一些示例,这些示例可帮助我们在ASP.NET Core使用Ocelot构建API网关。 #1基本演示 在这里介绍如何使用Ocelot的最简单的示例。 有关更多信息,请遵循。 链接在这里: #2 Jwt Auth演示 使用Ocelot...
ocelot网关+jwt身份认证
06-09
基于webapi的微服务框架,ocelot网关+jwt身份认证
common-shop-webapi-gateway:虚构的电子商务网站“ Common Shop”的Web API网关
03-21
通用商店-WebAPI网关 关于这个项目 这是一个虚构的电子商务网站“ Common Shop ”的Web API网关。它是用.NET 5构建的。 CICD是通过Github Actions实现的,并且Web API网关的详细文档位于。 入门 这是一个用C#编写的.NET 5项目。要构建该项目,只需克隆此存储库,还原nuget软件包,然后构建即可。 恢复nuget包 dotnet restore 编译并运行应用程序 dotnet run 编译生产 dotnet build 用于部署的Dockerise(可选) docker build --tag common-shop-webapi-gateway .
NETCORE Ocelot网关下的API统一JWT鉴权
spiderman_0的专栏
12-27 4262
本文章主要整理并分享 netcore2.2 版本 Ocelot网关下,各个api使用JWT验证实现统一鉴权验证(代码如有雷同请多包涵) 项目所用到的NuGet包版本: net core (2.2.0) , Ocelot(13.5.2) 园内很多blog都有介绍JWT的功能这里就不详细说明了,为什么用到JWT,主要出于的原因是想减少服务器的开销,将token的压力部分转移到客户端, 至于...
API网关Ocelot
weixin_37648525的博客
04-19 1285
API网关OcelotAPI网关OcelotOcelot的基本使用 API网关 我们知道在微服务架构中,后端会有许许多多的服务实例,但是在UI上进行展示的时候,我们通常需要在一个界面上展示很多数据,这些数据可能来自于不同的微服务中。这就会出现一下的这种情况: 这种情况下,前端UI展示需要知道数据来源于哪个服务,需要知道每一个服务的ip和端口,但是按照微服务的设计原则,服务的划分是随时间变化的,服务实例也是可以伸缩的,也就是后端接口的IP和端口是不固定的,这将会导致前端UI展示多了很多不确定的因素。 而A
Ocelot.JwtAuthorize:一个基于网关的Jwt验证包
weixin_30497527的博客
07-01 195
Ocelot作为基于.net coreAPI方关,有一个功能是统一验证,它的作用是把没有访问权限的请求挡在API网关外面,而不是到达API网关事端的API时才去验证;之前我有一篇博文https://www.cnblogs.com/axzxs2001/p/8005084.html,作过说明,这篇博文说明了实现代码,今天我把这个实现作了整理,封装成一个Nuget包,供大家方便调用。 Web API...
Ocelot统一权限验证
dotNET跨平台
12-11 3884
Ocelot作为网关,可以用来作统一验证,接上一篇博客Ocelot网关,我们继续 前一篇,我们创建了OcelotGateway网关项目,DemoAAPI项目,DemoBAPI项目,为了验证用户并分发Token,现在还需要添加AuthenticationAPI项目,也是asp.net core web api项目,整体思路是,当用户首次请求(Request)时web服务,网关会判断本请求有无T
.Net Core-Ocelot使用四:认证与授权
This is Fourteen
03-31 619
1、NuGet安装:Microsoft.AspNetCore.Authentication.JwtBearer 2、添加引用 using Microsoft.AspNetCore.Authentication.JwtBearer; 一、Startup.cs中注册身份验证服务 public void ConfigureServices(IServiceCollection services) ...
LEADTOOLS 入门教程: 添加引用并设置许可证 - C# .NET Core
励志做最业余的专业博主,控件产品可以私我~
10-17 593
是一个综合工具包的集合,用于将识别、文档、医疗、成像和多媒体技术整合到桌面、服务器、平板电脑、网络和移动解决方案中,是一项企业级文档自动化解决方案,有捕捉,OCR,OMR,表单识别和处理,PDF,打印捕获,归档,注释和显示功能。要在本教程中添加 LEADTOOLS 引用,请添加 LEADTOOLS NuGet 包,因为这将使用 .NET Core添加以下代码以正确设置您的许可证。现在 LEADTOOLS 引用已添加到项目中,添加相关代码以设置您的许可证。添加项目名称并指定要保存项目的位置,然后单击创建。
学习笔记---- Ocelot使用Consul+Polly+JWT实现简单的服务发现与治理以及身份认证
baidu_27598031的博客
11-27 1132
前言:上一篇中实现了consul的服务注册与发现,现在可以把网关系统进行一次升级改造,实现简单的服务发现与治理以及身份认证 一,Consul服务发现的引用与配置 1,使用NuGet安装Ocelot.Provider.Consul: 2,使用Startup.cs进行注册: public void ConfigureServices(IServiceCollection services) { //添加ocelot..
.net5 如何捕获Ocelot 中的polly.Timeout.TimeoutRejectedException
最新发布
06-06
.NET 5 中,你可以使用 ASP.NET Core 中的中间件来捕获 Ocelot 中的 polly.Timeout.TimeoutRejectedException 异常。具体来说,你可以在 Startup.Configure 方法中添加一个中间件来处理异常。 以下是一个简单的示例,演示如何在 ASP.NET Core 5 应用程序中捕获 Ocelot 中的 polly.Timeout.TimeoutRejectedException 异常: ```csharp public void Configure(IApplicationBuilder app, IWebHostEnvironment env) { app.UseExceptionHandler(errorApp => { errorApp.Run(async context => { var exception = context.Features.Get<IExceptionHandlerFeature>().Error; if (exception is Polly.Timeout.TimeoutRejectedException) { // 处理 TimeoutRejectedException 异常 await context.Response.WriteAsync("请求超时"); } else { // 处理其他异常 await context.Response.WriteAsync(exception.Message); } }); }); // 添加 Ocelot 中间件 app.UseOcelot().Wait(); } ``` 在上面的示例中,我们使用了 UseExceptionHandler 中间件来捕获异常。当发生异常时,中间件会进入 Run 方法中,并通过 Get<IExceptionHandlerFeature>() 方法获取异常信息。如果异常是 polly.Timeout.TimeoutRejectedException 异常,我们就可以对其进行特殊处理,例如返回一个错误信息给用户。如果异常是其他类型的异常,我们则可以进行其他的处理。 需要注意的是,在使用 Ocelot 中间件时,要确保它在异常处理中间件之前被添加,这样才能确保异常能被正确地捕获和处理。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值