源码下载地址:下载

项目结构如下图:

在Identity Server授权中,实现IResourceOwnerPasswordValidator接口:

public class IdentityValidator : IResourceOwnerPasswordValidator

    {

        private readonly UserManager<ApplicationUser> _userManager;

        private readonly IHttpContextAccessor _httpContextAccessor;

        public IdentityValidator(

            UserManager<ApplicationUser> userManager,

            IHttpContextAccessor httpContextAccessor)

        {

            _userManager = userManager;

            _httpContextAccessor = httpContextAccessor;

        }

        public async Task ValidateAsync(ResourceOwnerPasswordValidationContext context)

        {

            string userName = context.UserName;

            string password = context.Password;            

            var user = await _userManager.FindByNameAsync(userName);

            if (user == null)

            {

                context.Result = new GrantValidationResult(TokenRequestErrors.InvalidClient, "用户不存在!");

                return;

            }

            var checkResult = await _userManager.CheckPasswordAsync(user, password);

            if (checkResult)

            {

                context.Result = new GrantValidationResult(

                         subject: user.Id,

                         authenticationMethod: "custom",

                         claims: _httpContextAccessor.HttpContext.User.Claims);

            }

            else

            {

                context.Result = new GrantValidationResult(TokenRequestErrors.InvalidGrant, "无效的客户身份!");

            }

        }

    }

单页面应用中,使用implicit的授权模式,需添加oidc-client.js,调用API的关键代码:

var config = {

    authority: "http://localhost:5000/",

    client_id: "JsClient",

    redirect_uri: "http://localhost:5500/callback.html",

    response_type: "id_token token",

    scope:"openid profile UserApi",

    post_logout_redirect_uri: "http://localhost:5500/index.html",

};

var mgr = new Oidc.UserManager(config);

mgr.getUser().then(function (user) {

    if (user) {

        log("User logged in", user.profile);

    }

    else {

        log("User not logged in");

    }

});

function login() {

    mgr.signinRedirect();

}

//api调用之前需登录

function api() {

    mgr.getUser().then(function (user) {

        if (user == null || user == undefined) {

            login();

        }

        var url = "http://localhost:9000/api/Values";

        var xhr = new XMLHttpRequest();

        xhr.open("GET", url);

        xhr.onload = function () {

            log(xhr.status, JSON.parse(xhr.responseText));

            alert(xhr.responseText);

        }

        xhr.setRequestHeader("Authorization", "Bearer " + user.access_token);

        xhr.setRequestHeader("sub", user.profile.sub);//这里拿到的是用户ID,传给API端进行角色权限验证

        xhr.send();

    });

}

function logout() {

    mgr.signoutRedirect();

}

统一网关通过Ocelot实现,添加Ocelot.json文件,并修改Program.cs文件:

        public static IWebHost BuildWebHost(string[] args) =>

            WebHost.CreateDefaultBuilder(args)

                .ConfigureAppConfiguration((hostingContext, builder) => {

                    builder

                    .SetBasePath(hostingContext.HostingEnvironment.ContentRootPath)

                    .AddJsonFile("Ocelot.json");

                })

                .UseUrls("http://+:9000")

                .UseStartup<Startup>()

                .Build();

StartUp.cs文件修改如下:

        public void ConfigureServices(IServiceCollection services)

        {

            services.AddOcelot();

            var authenticationProviderKey = "qka_api";

            services.AddAuthentication("Bearer")

                .AddIdentityServerAuthentication(authenticationProviderKey, options =>

                {

                    options.Authority = "http://localhost:5000";

                    options.RequireHttpsMetadata = false;

                    options.ApiName = "UserApi";

                });

            services.AddCors(options =>

            {

                options.AddPolicy("default", policy =>

                {

                    policy.AllowAnyOrigin()

                            .AllowAnyMethod()

                            .AllowAnyHeader()

                            .AllowCredentials();

                });

            });

        }

        public void Configure(IApplicationBuilder app, IHostingEnvironment env)

        {

            app.UseCors("default");

            app.UseOcelot().Wait();

        }

Ocelot.js配置文件如下:

{

  "ReRoutes": [

    {

      "DownstreamPathTemplate": "/{url}",

      "DownstreamScheme": "http",

      "ServiceName": "userapi", //consul中的userapi的service名称

      "LoadBalancer": "RoundRobin", //负载均衡算法

      "UseServiceDiscovery": true, //启用服务发现

      "UpstreamPathTemplate": "/{url}",

      "UpstreamHttpMethod": [ "GET", "POST", "DELETE", "PUT" ],

      "AuthenticationOptions": {

        "AuthenticationProviderKey": "qka_api",

        "AllowedScopes": []

      }

    },

    {

      "DownstreamPathTemplate": "/{url}",

      "DownstreamScheme": "http",

      "ServiceName": "identityserverapi", //consul中的userapi的service名称

      "LoadBalancer": "RoundRobin", //负载均衡算法

      "UseServiceDiscovery": true, //启用服务发现

      "UpstreamPathTemplate": "/{url}",

      "UpstreamHttpMethod": [ "GET", "POST", "DELETE", "PUT" ],

    }

  ],

  "GlobalConfiguration": {

    "BaseUrl": "http://localhost:9000",

    "ServiceDiscoveryProvider": {

      "Host": "192.168.2.144",//consul的地址

      "Port": 8500//consul的端口

    }

  }

}

asp.net core自带的基于角色授权需要像下图那样写死角色的名称,当角色权限发生变化时,需要修改并重新发布站点,很不方便。

所以我自定义了一个filter,实现角色授权验证:

public class UserPermissionFilterAttribute : ActionFilterAttribute

    {

        public override void OnActionExecuting(ActionExecutingContext context)

        {

            if (context.Filters.Any(item => item is IAllowAnonymousFilter))

            {

                return;

            }

            if (!(context.ActionDescriptor is ControllerActionDescriptor))

            {

                return;

            }

            var attributeList = new List<object>();

            attributeList.AddRange((context.ActionDescriptor as ControllerActionDescriptor).MethodInfo.GetCustomAttributes(true));

            attributeList.AddRange((context.ActionDescriptor as ControllerActionDescriptor).MethodInfo.DeclaringType.GetCustomAttributes(true));

            var authorizeAttributes = attributeList.OfType<UserPermissionFilterAttribute>().ToList();

            if (!authorizeAttributes.Any())

            {

                return;

            }

            var sub = context.HttpContext.Request.Headers["sub"];

            string path = context.HttpContext.Request.Path.Value.ToLower();

            string httpMethod = context.HttpContext.Request.Method.ToLower();

            /*todo:

            从数据库中根据role获取权限是否具有访问当前path和method的权限,

            因调用频繁,

            可考虑将角色权限缓存到redis中*/

            bool isAuthorized = true;

            if (!isAuthorized)

            {

                context.Result = new UnauthorizedResult();

                return;

            }

        }

    }

在需要授权的Action或Controller上加上该特性即可。

.net core使用Ocelot+Identity Server统一网关验证的更多相关文章

  1. (10)学习笔记 ) ASP.NET CORE微服务 Micro-Service ---- Ocelot+Identity Server

    用 JWT 机制实现验证的原理如下图:  认证服务器负责颁发 Token(相当于 JWT 值)和校验 Token 的合法性. 一. 相关概念 API 资源(API Resource):微博服务器接口. ...

  2. Asp.net core 学习笔记 ( identity server 4 JWT Part )

    更新 : id4 使用这个 DbContext 哦 dotnet ef migrations add identity-server-init --context PersistedGrantDbCo ...

  3. Asp.Net Core: Swagger 与 Identity Server 4

    Swagger不用多说,可以自动生成Web Api的接口文档和客户端调用代码,方便开发人员进行测试.通常我们只需要几行代码就可以实现这个功能: ... builder.Services.AddSwag ...

  4. 使用PostMan Canary测试受Identity Server 4保护的Web Api

    在<Asp.Net Core: Swagger 与 Identity Server 4>一文中介绍了如何生成受保护的Web Api的Swagger文档,本文介绍使用PostMan Cana ...

  5. .NET Core微服务之基于Ocelot+IdentityServer实现统一验证与授权

    Tip: 此篇已加入.NET Core微服务基础系列文章索引 一.案例结构总览 这里,假设我们有两个客户端(一个Web网站,一个移动App),他们要使用系统,需要通过API网关(这里API网关始终作为 ...

  6. .net core Ocelot Consul 实现API网关 服务注册 服务发现 负载均衡

    大神张善友 分享过一篇 <.NET Core 在腾讯财付通的企业级应用开发实践>里面就是用.net core 和 Ocelot搭建的可扩展的高性能Api网关. Ocelot(http:// ...

  7. 系统集成之用户统一登录( LDAP + wso2 Identity Server)

    本文场景: LDAP + wso2 Identity Server + asp.net声明感知 场景 ,假定读者已经了解过ws-*协议族,及 ws-trust 和 ws-federation. 随着开 ...

  8. 从头编写asp.net core 2.0 web api 基础框架 (5) + 使用Identity Server 4建立Authorization Server (7) 可运行前后台源码

    前台使用angular 5, 后台是asp.net core 2.0 web api + identity server 4. 从头编写asp.net core 2.0 web api 基础框架: 第 ...

  9. ASP.NET Core Web API 索引 (更新Identity Server 4 视频教程)

    GraphQL 使用ASP.NET Core开发GraphQL服务器 -- 预备知识(上) 使用ASP.NET Core开发GraphQL服务器 -- 预备知识(下) [视频] 使用ASP.NET C ...

随机推荐

  1. ambari2.6.1汉化记录

    1.1测试机 Apache hadoop2.6Apache ambari 2.6.1集群规模:单节点操作系统 CentOS7以下所有操作均在root用户下执行 1.2安装环境 安装Maventar - ...

  2. 深入了解Collections

    在 Java集合类框架里有两个类叫做Collections(注意,不是Collection!)和Arrays,这是JCF里面功能强大的工具,但初学者往往会忽视.按JCF文档的说法,这两个类提供了封装器 ...

  3. oracle 导入/导出遇到的 问题总结

    0925: 解决oracle 11g空数据 exp 少表的问题 1:生成处理语句 Select 'alter table '||table_name||' allocate extent;' from ...

  4. 微软云消息队列 Azure service bus queue

    前言 第一次使用消息队列,遇到了一些问题:同一个消息有多次出列.是一个消息只入列一次,还是多次?还是因为出列问题,出列了多次? Microsoft Azure service bus queue Az ...

  5. 微信小程序中自定义函数的学习使用

    新手,最近在给学校搞个党费计算器.需要自己定义函数来实现某个功能. 1.无参函数: 函数都是写在js文件里面的. Page({ data:{ income1:'0', }, cal:function( ...

  6. RabbitMQ Linux(Redhat6.5)安装(二 )

    一.安装erlang 由于RabbitMq的linux运行环境需要erlang环境,所以需要先安装erlang: 1.erlang下载: http://erlang.org/download/(我下载 ...

  7. 使用MongoDB存储集合的一些问题

    这两天在工作中被Mongo集合存储给整得头大,当然也是我的认知太浅,所以下面我来分享下我所遇到的这个问题希望有大佬能给出更好的解决方案, 1.需求: 存储一个从前端接收未知数据类型的集合 例: 由于是 ...

  8. C程序员眼里的Python

    注释 Phython的注释和C语言非常不同,第一种 #开头的注释,类似于C的//开头,而"""对 包围注释,类似于C的/* */,以及xml类的<!--    -- ...

  9. Hibernate二级缓存简述及基于Spring4,Hibernate5,Ehcache3的二级缓存配置

    Hibernate L2缓存 缓存的分类 L2缓存工作原理 放入二级缓存的数据 Ehcache 依赖 ehcache.xml 常用的memoryStoreEvictionPolicy(缓存算法) eh ...

  10. htmlparser 学习

    htmlparser 学习系列 htmlparser 使用法使用与详解