源码下载地址:下载

项目结构如下图:

在Identity Server授权中,实现IResourceOwnerPasswordValidator接口:

public class IdentityValidator : IResourceOwnerPasswordValidator

    {

        private readonly UserManager<ApplicationUser> _userManager;

        private readonly IHttpContextAccessor _httpContextAccessor;

        public IdentityValidator(

            UserManager<ApplicationUser> userManager,

            IHttpContextAccessor httpContextAccessor)

        {

            _userManager = userManager;

            _httpContextAccessor = httpContextAccessor;

        }

        public async Task ValidateAsync(ResourceOwnerPasswordValidationContext context)

        {

            string userName = context.UserName;

            string password = context.Password;            

            var user = await _userManager.FindByNameAsync(userName);

            if (user == null)

            {

                context.Result = new GrantValidationResult(TokenRequestErrors.InvalidClient, "用户不存在!");

                return;

            }

            var checkResult = await _userManager.CheckPasswordAsync(user, password);

            if (checkResult)

            {

                context.Result = new GrantValidationResult(

                         subject: user.Id,

                         authenticationMethod: "custom",

                         claims: _httpContextAccessor.HttpContext.User.Claims);

            }

            else

            {

                context.Result = new GrantValidationResult(TokenRequestErrors.InvalidGrant, "无效的客户身份!");

            }

        }

    }

单页面应用中,使用implicit的授权模式,需添加oidc-client.js,调用API的关键代码:

var config = {

    authority: "http://localhost:5000/",

    client_id: "JsClient",

    redirect_uri: "http://localhost:5500/callback.html",

    response_type: "id_token token",

    scope:"openid profile UserApi",

    post_logout_redirect_uri: "http://localhost:5500/index.html",

};

var mgr = new Oidc.UserManager(config);

mgr.getUser().then(function (user) {

    if (user) {

        log("User logged in", user.profile);

    }

    else {

        log("User not logged in");

    }

});

function login() {

    mgr.signinRedirect();

}

//api调用之前需登录

function api() {

    mgr.getUser().then(function (user) {

        if (user == null || user == undefined) {

            login();

        }

        var url = "http://localhost:9000/api/Values";

        var xhr = new XMLHttpRequest();

        xhr.open("GET", url);

        xhr.onload = function () {

            log(xhr.status, JSON.parse(xhr.responseText));

            alert(xhr.responseText);

        }

        xhr.setRequestHeader("Authorization", "Bearer " + user.access_token);

        xhr.setRequestHeader("sub", user.profile.sub);//这里拿到的是用户ID,传给API端进行角色权限验证

        xhr.send();

    });

}

function logout() {

    mgr.signoutRedirect();

}

统一网关通过Ocelot实现,添加Ocelot.json文件,并修改Program.cs文件:

        public static IWebHost BuildWebHost(string[] args) =>

            WebHost.CreateDefaultBuilder(args)

                .ConfigureAppConfiguration((hostingContext, builder) => {

                    builder

                    .SetBasePath(hostingContext.HostingEnvironment.ContentRootPath)

                    .AddJsonFile("Ocelot.json");

                })

                .UseUrls("http://+:9000")

                .UseStartup<Startup>()

                .Build();

StartUp.cs文件修改如下:

        public void ConfigureServices(IServiceCollection services)

        {

            services.AddOcelot();

            var authenticationProviderKey = "qka_api";

            services.AddAuthentication("Bearer")

                .AddIdentityServerAuthentication(authenticationProviderKey, options =>

                {

                    options.Authority = "http://localhost:5000";

                    options.RequireHttpsMetadata = false;

                    options.ApiName = "UserApi";

                });

            services.AddCors(options =>

            {

                options.AddPolicy("default", policy =>

                {

                    policy.AllowAnyOrigin()

                            .AllowAnyMethod()

                            .AllowAnyHeader()

                            .AllowCredentials();

                });

            });

        }

        public void Configure(IApplicationBuilder app, IHostingEnvironment env)

        {

            app.UseCors("default");

            app.UseOcelot().Wait();

        }

Ocelot.js配置文件如下:

{

  "ReRoutes": [

    {

      "DownstreamPathTemplate": "/{url}",

      "DownstreamScheme": "http",

      "ServiceName": "userapi", //consul中的userapi的service名称

      "LoadBalancer": "RoundRobin", //负载均衡算法

      "UseServiceDiscovery": true, //启用服务发现

      "UpstreamPathTemplate": "/{url}",

      "UpstreamHttpMethod": [ "GET", "POST", "DELETE", "PUT" ],

      "AuthenticationOptions": {

        "AuthenticationProviderKey": "qka_api",

        "AllowedScopes": []

      }

    },

    {

      "DownstreamPathTemplate": "/{url}",

      "DownstreamScheme": "http",

      "ServiceName": "identityserverapi", //consul中的userapi的service名称

      "LoadBalancer": "RoundRobin", //负载均衡算法

      "UseServiceDiscovery": true, //启用服务发现

      "UpstreamPathTemplate": "/{url}",

      "UpstreamHttpMethod": [ "GET", "POST", "DELETE", "PUT" ],

    }

  ],

  "GlobalConfiguration": {

    "BaseUrl": "http://localhost:9000",

    "ServiceDiscoveryProvider": {

      "Host": "192.168.2.144",//consul的地址

      "Port": 8500//consul的端口

    }

  }

}

asp.net core自带的基于角色授权需要像下图那样写死角色的名称,当角色权限发生变化时,需要修改并重新发布站点,很不方便。

所以我自定义了一个filter,实现角色授权验证:

public class UserPermissionFilterAttribute : ActionFilterAttribute

    {

        public override void OnActionExecuting(ActionExecutingContext context)

        {

            if (context.Filters.Any(item => item is IAllowAnonymousFilter))

            {

                return;

            }

            if (!(context.ActionDescriptor is ControllerActionDescriptor))

            {

                return;

            }

            var attributeList = new List<object>();

            attributeList.AddRange((context.ActionDescriptor as ControllerActionDescriptor).MethodInfo.GetCustomAttributes(true));

            attributeList.AddRange((context.ActionDescriptor as ControllerActionDescriptor).MethodInfo.DeclaringType.GetCustomAttributes(true));

            var authorizeAttributes = attributeList.OfType<UserPermissionFilterAttribute>().ToList();

            if (!authorizeAttributes.Any())

            {

                return;

            }

            var sub = context.HttpContext.Request.Headers["sub"];

            string path = context.HttpContext.Request.Path.Value.ToLower();

            string httpMethod = context.HttpContext.Request.Method.ToLower();

            /*todo:

            从数据库中根据role获取权限是否具有访问当前path和method的权限,

            因调用频繁,

            可考虑将角色权限缓存到redis中*/

            bool isAuthorized = true;

            if (!isAuthorized)

            {

                context.Result = new UnauthorizedResult();

                return;

            }

        }

    }

在需要授权的Action或Controller上加上该特性即可。

.net core使用Ocelot+Identity Server统一网关验证的更多相关文章

  1. (10)学习笔记 ) ASP.NET CORE微服务 Micro-Service ---- Ocelot+Identity Server

    用 JWT 机制实现验证的原理如下图:  认证服务器负责颁发 Token(相当于 JWT 值)和校验 Token 的合法性. 一. 相关概念 API 资源(API Resource):微博服务器接口. ...

  2. Asp.net core 学习笔记 ( identity server 4 JWT Part )

    更新 : id4 使用这个 DbContext 哦 dotnet ef migrations add identity-server-init --context PersistedGrantDbCo ...

  3. Asp.Net Core: Swagger 与 Identity Server 4

    Swagger不用多说,可以自动生成Web Api的接口文档和客户端调用代码,方便开发人员进行测试.通常我们只需要几行代码就可以实现这个功能: ... builder.Services.AddSwag ...

  4. 使用PostMan Canary测试受Identity Server 4保护的Web Api

    在<Asp.Net Core: Swagger 与 Identity Server 4>一文中介绍了如何生成受保护的Web Api的Swagger文档,本文介绍使用PostMan Cana ...

  5. .NET Core微服务之基于Ocelot+IdentityServer实现统一验证与授权

    Tip: 此篇已加入.NET Core微服务基础系列文章索引 一.案例结构总览 这里,假设我们有两个客户端(一个Web网站,一个移动App),他们要使用系统,需要通过API网关(这里API网关始终作为 ...

  6. .net core Ocelot Consul 实现API网关 服务注册 服务发现 负载均衡

    大神张善友 分享过一篇 <.NET Core 在腾讯财付通的企业级应用开发实践>里面就是用.net core 和 Ocelot搭建的可扩展的高性能Api网关. Ocelot(http:// ...

  7. 系统集成之用户统一登录( LDAP + wso2 Identity Server)

    本文场景: LDAP + wso2 Identity Server + asp.net声明感知 场景 ,假定读者已经了解过ws-*协议族,及 ws-trust 和 ws-federation. 随着开 ...

  8. 从头编写asp.net core 2.0 web api 基础框架 (5) + 使用Identity Server 4建立Authorization Server (7) 可运行前后台源码

    前台使用angular 5, 后台是asp.net core 2.0 web api + identity server 4. 从头编写asp.net core 2.0 web api 基础框架: 第 ...

  9. ASP.NET Core Web API 索引 (更新Identity Server 4 视频教程)

    GraphQL 使用ASP.NET Core开发GraphQL服务器 -- 预备知识(上) 使用ASP.NET Core开发GraphQL服务器 -- 预备知识(下) [视频] 使用ASP.NET C ...

随机推荐

  1. SQL语言逻辑执行顺序

    SQL语言逻辑执行顺序 2012-12-18 16:18:13 分类: 数据库开发技术 查询的逻辑执行顺序 FROM < left_table> ON < join_conditio ...

  2. MLDS笔记:Generalization

    1 泛化能力 用VC维来衡量一个模型的表达能力,比如2维线性模型的VC维为3. 在图1-2中,随便给啥训练数据该model都能learn起来. 从理论上来看,当2个model在训练数据上表现一样时,为 ...

  3. Msys+MinGW编译VLC

      说明:本文只是对官方文档进行简单的翻译总结,旨在帮助一些英文不太好的朋友.官方文档请见wiki.videolan.org/Win32CompileMSYSNew. Msys是MinGW的一个辅助工 ...

  4. GNSS相关网站汇总

    转载: https://blog.csdn.net/zzh_my/article/details/78449972 一.bernese 数据表文件下载 ftp://nfs.kasi.re.kr rin ...

  5. Spring Cache 笔记

    @(Java ThirdParty)[Spring Cache] Spring Cache Abstraction 简介 Spring Cache提供了对底层缓存使用的抽象,通过注解的方式使用缓存,减 ...

  6. 【数据可视化之Flask】快速设计和部署Flask网站

    Flask是Python应用于WEB开发的第三方开源框架,以设计简单高效著称.我也尝试过Django,相对于Flask显得更加全面同样也更加笨重,并且我也不需要它的后台管理功能,因此选择了Flask作 ...

  7. 浏览器渲染原理笔记 --《How Browser Work》读后总结

    综述 之前使用ExtJS时遇到一个问题:为什么依次设置多个组件的可见性界面会卡顿?在了解HTML的dom操作相关内容的时候也好奇这个东西到底是怎么回事,然后尤其搞不懂CSS和Html分管样式和网页结构 ...

  8. SpringMVC+GSON 对象序列化--日期格式的处理

    Gson异常强大因此使用它代替了Jackson作为SpringMVC消息转换器. 在自己的项目中,发现对象在序列化后,日期格式出现了问题. 先看问题 在员工表中有一列是生日,字段类型为Date,也就是 ...

  9. java原子操作的实现原理--转载

    原文地址:http://www.infoq.com/cn/articles/atomic-operation 1. 引言 原子(atom)本意是“不能被进一步分割的最小粒子”,而原子操作(atomic ...

  10. 使用VirtualBox调试项目踩过的坑

    当我们完成项目后 通常需要做其他系统的测试 例如win10下测试完成后要在win7中测试 这时,安装一个虚拟机是较为明智的选择 本文将讲述在使用虚拟机测试Unity发布的exe(所有的3D文件都适用) ...