源码下载地址:下载

项目结构如下图:

在Identity Server授权中,实现IResourceOwnerPasswordValidator接口:

public class IdentityValidator : IResourceOwnerPasswordValidator

    {

        private readonly UserManager<ApplicationUser> _userManager;

        private readonly IHttpContextAccessor _httpContextAccessor;

        public IdentityValidator(

            UserManager<ApplicationUser> userManager,

            IHttpContextAccessor httpContextAccessor)

        {

            _userManager = userManager;

            _httpContextAccessor = httpContextAccessor;

        }

        public async Task ValidateAsync(ResourceOwnerPasswordValidationContext context)

        {

            string userName = context.UserName;

            string password = context.Password;            

            var user = await _userManager.FindByNameAsync(userName);

            if (user == null)

            {

                context.Result = new GrantValidationResult(TokenRequestErrors.InvalidClient, "用户不存在!");

                return;

            }

            var checkResult = await _userManager.CheckPasswordAsync(user, password);

            if (checkResult)

            {

                context.Result = new GrantValidationResult(

                         subject: user.Id,

                         authenticationMethod: "custom",

                         claims: _httpContextAccessor.HttpContext.User.Claims);

            }

            else

            {

                context.Result = new GrantValidationResult(TokenRequestErrors.InvalidGrant, "无效的客户身份!");

            }

        }

    }

单页面应用中,使用implicit的授权模式,需添加oidc-client.js,调用API的关键代码:

var config = {

    authority: "http://localhost:5000/",

    client_id: "JsClient",

    redirect_uri: "http://localhost:5500/callback.html",

    response_type: "id_token token",

    scope:"openid profile UserApi",

    post_logout_redirect_uri: "http://localhost:5500/index.html",

};

var mgr = new Oidc.UserManager(config);

mgr.getUser().then(function (user) {

    if (user) {

        log("User logged in", user.profile);

    }

    else {

        log("User not logged in");

    }

});

function login() {

    mgr.signinRedirect();

}

//api调用之前需登录

function api() {

    mgr.getUser().then(function (user) {

        if (user == null || user == undefined) {

            login();

        }

        var url = "http://localhost:9000/api/Values";

        var xhr = new XMLHttpRequest();

        xhr.open("GET", url);

        xhr.onload = function () {

            log(xhr.status, JSON.parse(xhr.responseText));

            alert(xhr.responseText);

        }

        xhr.setRequestHeader("Authorization", "Bearer " + user.access_token);

        xhr.setRequestHeader("sub", user.profile.sub);//这里拿到的是用户ID,传给API端进行角色权限验证

        xhr.send();

    });

}

function logout() {

    mgr.signoutRedirect();

}

统一网关通过Ocelot实现,添加Ocelot.json文件,并修改Program.cs文件:

        public static IWebHost BuildWebHost(string[] args) =>

            WebHost.CreateDefaultBuilder(args)

                .ConfigureAppConfiguration((hostingContext, builder) => {

                    builder

                    .SetBasePath(hostingContext.HostingEnvironment.ContentRootPath)

                    .AddJsonFile("Ocelot.json");

                })

                .UseUrls("http://+:9000")

                .UseStartup<Startup>()

                .Build();

StartUp.cs文件修改如下:

        public void ConfigureServices(IServiceCollection services)

        {

            services.AddOcelot();

            var authenticationProviderKey = "qka_api";

            services.AddAuthentication("Bearer")

                .AddIdentityServerAuthentication(authenticationProviderKey, options =>

                {

                    options.Authority = "http://localhost:5000";

                    options.RequireHttpsMetadata = false;

                    options.ApiName = "UserApi";

                });

            services.AddCors(options =>

            {

                options.AddPolicy("default", policy =>

                {

                    policy.AllowAnyOrigin()

                            .AllowAnyMethod()

                            .AllowAnyHeader()

                            .AllowCredentials();

                });

            });

        }

        public void Configure(IApplicationBuilder app, IHostingEnvironment env)

        {

            app.UseCors("default");

            app.UseOcelot().Wait();

        }

Ocelot.js配置文件如下:

{

  "ReRoutes": [

    {

      "DownstreamPathTemplate": "/{url}",

      "DownstreamScheme": "http",

      "ServiceName": "userapi", //consul中的userapi的service名称

      "LoadBalancer": "RoundRobin", //负载均衡算法

      "UseServiceDiscovery": true, //启用服务发现

      "UpstreamPathTemplate": "/{url}",

      "UpstreamHttpMethod": [ "GET", "POST", "DELETE", "PUT" ],

      "AuthenticationOptions": {

        "AuthenticationProviderKey": "qka_api",

        "AllowedScopes": []

      }

    },

    {

      "DownstreamPathTemplate": "/{url}",

      "DownstreamScheme": "http",

      "ServiceName": "identityserverapi", //consul中的userapi的service名称

      "LoadBalancer": "RoundRobin", //负载均衡算法

      "UseServiceDiscovery": true, //启用服务发现

      "UpstreamPathTemplate": "/{url}",

      "UpstreamHttpMethod": [ "GET", "POST", "DELETE", "PUT" ],

    }

  ],

  "GlobalConfiguration": {

    "BaseUrl": "http://localhost:9000",

    "ServiceDiscoveryProvider": {

      "Host": "192.168.2.144",//consul的地址

      "Port": 8500//consul的端口

    }

  }

}

asp.net core自带的基于角色授权需要像下图那样写死角色的名称,当角色权限发生变化时,需要修改并重新发布站点,很不方便。

所以我自定义了一个filter,实现角色授权验证:

public class UserPermissionFilterAttribute : ActionFilterAttribute

    {

        public override void OnActionExecuting(ActionExecutingContext context)

        {

            if (context.Filters.Any(item => item is IAllowAnonymousFilter))

            {

                return;

            }

            if (!(context.ActionDescriptor is ControllerActionDescriptor))

            {

                return;

            }

            var attributeList = new List<object>();

            attributeList.AddRange((context.ActionDescriptor as ControllerActionDescriptor).MethodInfo.GetCustomAttributes(true));

            attributeList.AddRange((context.ActionDescriptor as ControllerActionDescriptor).MethodInfo.DeclaringType.GetCustomAttributes(true));

            var authorizeAttributes = attributeList.OfType<UserPermissionFilterAttribute>().ToList();

            if (!authorizeAttributes.Any())

            {

                return;

            }

            var sub = context.HttpContext.Request.Headers["sub"];

            string path = context.HttpContext.Request.Path.Value.ToLower();

            string httpMethod = context.HttpContext.Request.Method.ToLower();

            /*todo:

            从数据库中根据role获取权限是否具有访问当前path和method的权限,

            因调用频繁,

            可考虑将角色权限缓存到redis中*/

            bool isAuthorized = true;

            if (!isAuthorized)

            {

                context.Result = new UnauthorizedResult();

                return;

            }

        }

    }

在需要授权的Action或Controller上加上该特性即可。

.net core使用Ocelot+Identity Server统一网关验证的更多相关文章

  1. (10)学习笔记 ) ASP.NET CORE微服务 Micro-Service ---- Ocelot+Identity Server

    用 JWT 机制实现验证的原理如下图:  认证服务器负责颁发 Token(相当于 JWT 值)和校验 Token 的合法性. 一. 相关概念 API 资源(API Resource):微博服务器接口. ...

  2. Asp.net core 学习笔记 ( identity server 4 JWT Part )

    更新 : id4 使用这个 DbContext 哦 dotnet ef migrations add identity-server-init --context PersistedGrantDbCo ...

  3. Asp.Net Core: Swagger 与 Identity Server 4

    Swagger不用多说,可以自动生成Web Api的接口文档和客户端调用代码,方便开发人员进行测试.通常我们只需要几行代码就可以实现这个功能: ... builder.Services.AddSwag ...

  4. 使用PostMan Canary测试受Identity Server 4保护的Web Api

    在<Asp.Net Core: Swagger 与 Identity Server 4>一文中介绍了如何生成受保护的Web Api的Swagger文档,本文介绍使用PostMan Cana ...

  5. .NET Core微服务之基于Ocelot+IdentityServer实现统一验证与授权

    Tip: 此篇已加入.NET Core微服务基础系列文章索引 一.案例结构总览 这里,假设我们有两个客户端(一个Web网站,一个移动App),他们要使用系统,需要通过API网关(这里API网关始终作为 ...

  6. .net core Ocelot Consul 实现API网关 服务注册 服务发现 负载均衡

    大神张善友 分享过一篇 <.NET Core 在腾讯财付通的企业级应用开发实践>里面就是用.net core 和 Ocelot搭建的可扩展的高性能Api网关. Ocelot(http:// ...

  7. 系统集成之用户统一登录( LDAP + wso2 Identity Server)

    本文场景: LDAP + wso2 Identity Server + asp.net声明感知 场景 ,假定读者已经了解过ws-*协议族,及 ws-trust 和 ws-federation. 随着开 ...

  8. 从头编写asp.net core 2.0 web api 基础框架 (5) + 使用Identity Server 4建立Authorization Server (7) 可运行前后台源码

    前台使用angular 5, 后台是asp.net core 2.0 web api + identity server 4. 从头编写asp.net core 2.0 web api 基础框架: 第 ...

  9. ASP.NET Core Web API 索引 (更新Identity Server 4 视频教程)

    GraphQL 使用ASP.NET Core开发GraphQL服务器 -- 预备知识(上) 使用ASP.NET Core开发GraphQL服务器 -- 预备知识(下) [视频] 使用ASP.NET C ...

随机推荐

  1. two sum II

    Given an array of integers that is already sorted in ascending order, find two numbers such that the ...

  2. 用 Javascript 实现的“Dual listbox”(双向选择器)

    这是我用 Javascript 制作的"Dual listbox"(双向选择器)的一个应用示例,是从我的代码中抠出来的.在网页编程中经常会用到. 也许我的实现太烦琐了,希望大家有更 ...

  3. div学习之div中dl-dt-dd的详解

    dl dt dd认识及dl dt dd使用方法 <dl> 标签用于定义列表类型标签. dl dt dd目录 dl dt dd介绍 结构语法 dl dt dd案例 dl dt dd总结 一. ...

  4. JavaScript设计模式之一封装

    对于熟悉C#和Java的兄弟们,面向对象的三大思想(封装,继承,多态)肯定是了解的,今天我想讲讲如何在Javascript中利用封装这个特性,开讲! 我们会把现实中的一些事物抽象成一个Class并且把 ...

  5. FFPLAY的原理(四)

    意外情况 你们将会注意到我们有一个全局变量quit,我们用它来保证还没有设置程序退出的信号(SDL会自动处理TERM类似的信号).否则,这个线程将不停地运 行直到我们使用kill -9来结束程序.FF ...

  6. Centos下部署Flask

    尝试在Centos6.5下部署Flask应用并成功,记录一下步骤,参数为什么这样配置还需要再研究uwsgi和Nginx才能回答. Python版本升级2.7 测试机器centos6.5默认自带的pyt ...

  7. Key-Value Store Indexer(Lily HBase Indexer) 小型采坑

    环境: Cloudera Express 5.12.1 JDK 1.8.0_92 CentOS 7 步骤1:数据导入到Hbase中(非正题,跳过) hbase中表为allDoc,两个Family:fu ...

  8. 微信小程序录音实现

    最近在写一个小程序的功能,需求是需要把用户的录音记录并上传到服务器,然后调用接口来实现播放功能. 翻阅不少资料都发现小程序对wx.startRecord()接口不在维护, 注意:1.6.0 版本开始, ...

  9. 有终将被编程潮流淹没的程序员,那是因为没学python人工智能吧?

    2017年被称为中国人工智能元年--在两会时期,人工智能曾经成为国度计策,同时被写进当局报告.在从前的一年里,人工智能获得注重,已逐步浸透到别的行业,无人超市.主动驾驶.人脸识别.智能家居等" ...

  10. 异步任务spring @Async注解源码解析

    1.引子 开启异步任务使用方法: 1).方法上加@Async注解 2).启动类或者配置类上@EnableAsync 2.源码解析 虽然spring5已经出来了,但是我们还是使用的spring4,本文就 ...