源码下载地址:下载

项目结构如下图:

在Identity Server授权中,实现IResourceOwnerPasswordValidator接口:

public class IdentityValidator : IResourceOwnerPasswordValidator

    {

        private readonly UserManager<ApplicationUser> _userManager;

        private readonly IHttpContextAccessor _httpContextAccessor;

        public IdentityValidator(

            UserManager<ApplicationUser> userManager,

            IHttpContextAccessor httpContextAccessor)

        {

            _userManager = userManager;

            _httpContextAccessor = httpContextAccessor;

        }

        public async Task ValidateAsync(ResourceOwnerPasswordValidationContext context)

        {

            string userName = context.UserName;

            string password = context.Password;            

            var user = await _userManager.FindByNameAsync(userName);

            if (user == null)

            {

                context.Result = new GrantValidationResult(TokenRequestErrors.InvalidClient, "用户不存在!");

                return;

            }

            var checkResult = await _userManager.CheckPasswordAsync(user, password);

            if (checkResult)

            {

                context.Result = new GrantValidationResult(

                         subject: user.Id,

                         authenticationMethod: "custom",

                         claims: _httpContextAccessor.HttpContext.User.Claims);

            }

            else

            {

                context.Result = new GrantValidationResult(TokenRequestErrors.InvalidGrant, "无效的客户身份!");

            }

        }

    }

单页面应用中,使用implicit的授权模式,需添加oidc-client.js,调用API的关键代码:

var config = {

    authority: "http://localhost:5000/",

    client_id: "JsClient",

    redirect_uri: "http://localhost:5500/callback.html",

    response_type: "id_token token",

    scope:"openid profile UserApi",

    post_logout_redirect_uri: "http://localhost:5500/index.html",

};

var mgr = new Oidc.UserManager(config);

mgr.getUser().then(function (user) {

    if (user) {

        log("User logged in", user.profile);

    }

    else {

        log("User not logged in");

    }

});

function login() {

    mgr.signinRedirect();

}

//api调用之前需登录

function api() {

    mgr.getUser().then(function (user) {

        if (user == null || user == undefined) {

            login();

        }

        var url = "http://localhost:9000/api/Values";

        var xhr = new XMLHttpRequest();

        xhr.open("GET", url);

        xhr.onload = function () {

            log(xhr.status, JSON.parse(xhr.responseText));

            alert(xhr.responseText);

        }

        xhr.setRequestHeader("Authorization", "Bearer " + user.access_token);

        xhr.setRequestHeader("sub", user.profile.sub);//这里拿到的是用户ID,传给API端进行角色权限验证

        xhr.send();

    });

}

function logout() {

    mgr.signoutRedirect();

}

统一网关通过Ocelot实现,添加Ocelot.json文件,并修改Program.cs文件:

        public static IWebHost BuildWebHost(string[] args) =>

            WebHost.CreateDefaultBuilder(args)

                .ConfigureAppConfiguration((hostingContext, builder) => {

                    builder

                    .SetBasePath(hostingContext.HostingEnvironment.ContentRootPath)

                    .AddJsonFile("Ocelot.json");

                })

                .UseUrls("http://+:9000")

                .UseStartup<Startup>()

                .Build();

StartUp.cs文件修改如下:

        public void ConfigureServices(IServiceCollection services)

        {

            services.AddOcelot();

            var authenticationProviderKey = "qka_api";

            services.AddAuthentication("Bearer")

                .AddIdentityServerAuthentication(authenticationProviderKey, options =>

                {

                    options.Authority = "http://localhost:5000";

                    options.RequireHttpsMetadata = false;

                    options.ApiName = "UserApi";

                });

            services.AddCors(options =>

            {

                options.AddPolicy("default", policy =>

                {

                    policy.AllowAnyOrigin()

                            .AllowAnyMethod()

                            .AllowAnyHeader()

                            .AllowCredentials();

                });

            });

        }

        public void Configure(IApplicationBuilder app, IHostingEnvironment env)

        {

            app.UseCors("default");

            app.UseOcelot().Wait();

        }

Ocelot.js配置文件如下:

{

  "ReRoutes": [

    {

      "DownstreamPathTemplate": "/{url}",

      "DownstreamScheme": "http",

      "ServiceName": "userapi", //consul中的userapi的service名称

      "LoadBalancer": "RoundRobin", //负载均衡算法

      "UseServiceDiscovery": true, //启用服务发现

      "UpstreamPathTemplate": "/{url}",

      "UpstreamHttpMethod": [ "GET", "POST", "DELETE", "PUT" ],

      "AuthenticationOptions": {

        "AuthenticationProviderKey": "qka_api",

        "AllowedScopes": []

      }

    },

    {

      "DownstreamPathTemplate": "/{url}",

      "DownstreamScheme": "http",

      "ServiceName": "identityserverapi", //consul中的userapi的service名称

      "LoadBalancer": "RoundRobin", //负载均衡算法

      "UseServiceDiscovery": true, //启用服务发现

      "UpstreamPathTemplate": "/{url}",

      "UpstreamHttpMethod": [ "GET", "POST", "DELETE", "PUT" ],

    }

  ],

  "GlobalConfiguration": {

    "BaseUrl": "http://localhost:9000",

    "ServiceDiscoveryProvider": {

      "Host": "192.168.2.144",//consul的地址

      "Port": 8500//consul的端口

    }

  }

}

asp.net core自带的基于角色授权需要像下图那样写死角色的名称,当角色权限发生变化时,需要修改并重新发布站点,很不方便。

所以我自定义了一个filter,实现角色授权验证:

public class UserPermissionFilterAttribute : ActionFilterAttribute

    {

        public override void OnActionExecuting(ActionExecutingContext context)

        {

            if (context.Filters.Any(item => item is IAllowAnonymousFilter))

            {

                return;

            }

            if (!(context.ActionDescriptor is ControllerActionDescriptor))

            {

                return;

            }

            var attributeList = new List<object>();

            attributeList.AddRange((context.ActionDescriptor as ControllerActionDescriptor).MethodInfo.GetCustomAttributes(true));

            attributeList.AddRange((context.ActionDescriptor as ControllerActionDescriptor).MethodInfo.DeclaringType.GetCustomAttributes(true));

            var authorizeAttributes = attributeList.OfType<UserPermissionFilterAttribute>().ToList();

            if (!authorizeAttributes.Any())

            {

                return;

            }

            var sub = context.HttpContext.Request.Headers["sub"];

            string path = context.HttpContext.Request.Path.Value.ToLower();

            string httpMethod = context.HttpContext.Request.Method.ToLower();

            /*todo:

            从数据库中根据role获取权限是否具有访问当前path和method的权限,

            因调用频繁,

            可考虑将角色权限缓存到redis中*/

            bool isAuthorized = true;

            if (!isAuthorized)

            {

                context.Result = new UnauthorizedResult();

                return;

            }

        }

    }

在需要授权的Action或Controller上加上该特性即可。

.net core使用Ocelot+Identity Server统一网关验证的更多相关文章

  1. (10)学习笔记 ) ASP.NET CORE微服务 Micro-Service ---- Ocelot+Identity Server

    用 JWT 机制实现验证的原理如下图:  认证服务器负责颁发 Token(相当于 JWT 值)和校验 Token 的合法性. 一. 相关概念 API 资源(API Resource):微博服务器接口. ...

  2. Asp.net core 学习笔记 ( identity server 4 JWT Part )

    更新 : id4 使用这个 DbContext 哦 dotnet ef migrations add identity-server-init --context PersistedGrantDbCo ...

  3. Asp.Net Core: Swagger 与 Identity Server 4

    Swagger不用多说,可以自动生成Web Api的接口文档和客户端调用代码,方便开发人员进行测试.通常我们只需要几行代码就可以实现这个功能: ... builder.Services.AddSwag ...

  4. 使用PostMan Canary测试受Identity Server 4保护的Web Api

    在<Asp.Net Core: Swagger 与 Identity Server 4>一文中介绍了如何生成受保护的Web Api的Swagger文档,本文介绍使用PostMan Cana ...

  5. .NET Core微服务之基于Ocelot+IdentityServer实现统一验证与授权

    Tip: 此篇已加入.NET Core微服务基础系列文章索引 一.案例结构总览 这里,假设我们有两个客户端(一个Web网站,一个移动App),他们要使用系统,需要通过API网关(这里API网关始终作为 ...

  6. .net core Ocelot Consul 实现API网关 服务注册 服务发现 负载均衡

    大神张善友 分享过一篇 <.NET Core 在腾讯财付通的企业级应用开发实践>里面就是用.net core 和 Ocelot搭建的可扩展的高性能Api网关. Ocelot(http:// ...

  7. 系统集成之用户统一登录( LDAP + wso2 Identity Server)

    本文场景: LDAP + wso2 Identity Server + asp.net声明感知 场景 ,假定读者已经了解过ws-*协议族,及 ws-trust 和 ws-federation. 随着开 ...

  8. 从头编写asp.net core 2.0 web api 基础框架 (5) + 使用Identity Server 4建立Authorization Server (7) 可运行前后台源码

    前台使用angular 5, 后台是asp.net core 2.0 web api + identity server 4. 从头编写asp.net core 2.0 web api 基础框架: 第 ...

  9. ASP.NET Core Web API 索引 (更新Identity Server 4 视频教程)

    GraphQL 使用ASP.NET Core开发GraphQL服务器 -- 预备知识(上) 使用ASP.NET Core开发GraphQL服务器 -- 预备知识(下) [视频] 使用ASP.NET C ...

随机推荐

  1. Windows平台安装及配置Hadoop(不借助cygwin)

    由于项目需要,我在VMware上装了几个虚拟机Windows server 2012 R2,并要搭建Hadoop集群.刚刚入门hadoop,一头雾水,然后开始搜各种教程,首先是选用cygwin进行安装 ...

  2. JVM学习--(一)基本原理

    前言 JVM一直是java知识里面进阶阶段的重要部分,如果希望在java领域研究的更深入,则JVM则是如论如何也避开不了的话题,本系列试图通过简洁易读的方式,讲解JVM必要的知识点. 运行流程 我们都 ...

  3. 深入了解Map

    联系 Java中的Map类似于OC的Dictionary,都是一个个键值对组成,一键对应一值.我在之前的文章中讲解过Set,其实在JAVA底层Set依赖的也是Map,那我们都知道,Set是单列的(只有 ...

  4. Swap Nodes in Pairs(交换节点)

    Given a linked list, swap every two adjacent nodes and return its head. For example,Given 1->2-&g ...

  5. Spring温故而知新 - bean的装配

    Spring装配机制 Spring提供了三种主要的装配机制: 1:通过XML进行显示配置 2:通过Java代码显示配置 3:自动化装配 自动化装配 Spring中IOC容器分两个步骤来完成自动化装配: ...

  6. git merge 与 rebase

    git merge git rebase merge V.S. rebase 参考材料 写在开始: 对merge和rebase的用法总有疑惑,好像两个都能完成"获取别的branch的comm ...

  7. Python高阶函数之 - 装饰器

    高阶函数:  1. 函数名可以作为参数传入     2. 函数名可以作为返回值. python装饰器是用于拓展原来函数功能的一种函数 , 这个函数的特殊之处在于它的返回值也是一个函数 , 使用pyth ...

  8. vue-cli目录结构

  9. AdminIII连接linux Postgresql过程中的几个小问题

    1.postgresql.conf主配置文件中要配置postgresql绑定的IP,如果不设置,可能只绑定本地闭环地址:127.0.0.1,可以设定为0.0.0.0:就包括了一切IPv4地址 2.pg ...

  10. Top Open Source Projects to Watch in 2017

    https://opensource.com/article/16/12/yearbook-projects-watch-2017 No one has a crystal ball to see t ...