大家好,我是Edison。

最近,在使用CAP事件总线时,碰到了这样一个需求:微服务采用的是MongoDB,而且还是带身份验证 和 SSL根证书验证的。由于目前网上能找到的资料,都是不带身份验证的MongoDB,现在网络信息安全越来越被重视,那么就需要自己研究一番了。

CAP.MongoDB组件

CAP是一个开源的事件总线项目,在.NET社区已经十分流行了,它提供了多种存储方式:MSSQL, MySQL, PgSQL,MongoDB等,这里我们主要关注MongoDB。快速安装CAP.MongoDB组件:

PM> Install-Package DotNetCore.CAP.MongoDB

快速集成CAP.MongoDB组件(StartUp.cs):

​public void ConfigureServices(IServiceCollection services)

{

    // ...


    services.AddCap(x =>

    {

        x.UseMongoDB(opt=>{

            //MongoDBOptions

        });

        // x.UseXXX ...

    });

}

目前CAP提供的Options如下:

也就是说,CAP的Option只提供了一个DatabaseConnection选项,让我们自己构造Mongo链接字符串供CAP使用。

那么,我们就需要准确地构造这个Mongo连接字符串了。

这里,我们以之前分享的一篇文章《在ASP.NET 6中使用工作单元操作MongoDB》为基础,不熟悉的朋友可以先看看这篇文章。

前提条件/准备工作

这里我们假设在appsettings中我们针对MongoDB的配置项如下格式:

"MongoDatabaseConfigs": {

    "Servers": "xxx01.server.net,xxx02.server.net,xxx03.server.net",

    "Port": 27017, // optional, default : 27017

    "ReplicaSetName": "myrs",

    "DatabaseName": "TEST_DB",

    "AuthDatabaseName": "admin", // optional, default: admin

    "ApplicationName": "Todo",

    "UserName": "test_dev_user",

    "Password": "test_dev_password",

    "UseTLS": true,  // optional, default : false

    "AllowInsecureTLS": true, // optional, default : true

    "SslCertificatePath": "/etc/pki/tls/certs/MyCustomCA.cer"

}

配置项中给出了UserName、Password 还有 SSL证书的路径,这些都是需要构造到连接字符串中的。当然,在Kubernetes中,都建议放到Secret中去。

核心工作:封装构造连接字符串的方法

这里我们封装一个生成MongoDB连接字符串的静态方法,用于读取appsettings中的配置项,并帮我们生成CAP可以用的MongoDB连接字符串:

public static class DbConnUtil

{

    // Const Settings for Mongo

    private const int DEFAULT_CONNECT_TIMEOUT_MS = 10000; // 10s

    private const int DEFAULT_SERVER_SELECTION_TIMEOUT_MS = 5000; // 5s

    private const string DEFAULT_AUTH_MECHANISM = "SCRAM-SHA-256"; // SCRAM-SHA-256

    private const string DEFAULT_READ_PREFERENCE = "primaryPreferred"; // Primary Preferred

    private const string DEFAULT_SSL_INVALID_HOSTNAME_ALLOWED = "true"; // Allow Invalid HostName for SSL

    /// <summary>

    /// 获取MongoDB数据库连接字符串

    /// 需要在配置文件中提前根据指定Key进行设置

    /// </summary>

    public static string GetMongoDbConnectionString(IConfiguration config)

    {

        var servers = config["MongoDatabaseConfigs:Servers"];

        var port = config["MongoDatabaseConfigs:Port"] ?? "27017";

        if (string.IsNullOrWhiteSpace(servers))

            throw new ArgumentNullException("Mongo Servers Configuration is Missing!");

        var mongoServers = servers.Split(',');

        // Basic Auth

        var userName = config["MongoDatabaseConfigs:UserName"];

        var password = config["MongoDatabaseConfigs:Password"];

        if (string.IsNullOrWhiteSpace(userName) || string.IsNullOrWhiteSpace(password))

            throw new ArgumentNullException("Mongo Account Configuration is Missing!");

        // Uri

        var replicaName = config["MongoDatabaseConfigs:ReplicaSetName"];

        var authDatabaseName = config["MongoDatabaseConfigs:AuthDatabaseName"] ?? "admin";

        var mongoUriBuilder = new StringBuilder();

        mongoUriBuilder.Append($"mongodb://{userName}:{password}@");

        for (int i = 0; i < mongoServers.Length; i++)

        {

            if (i < mongoServers.Length - 1)

            {

                mongoUriBuilder.Append($"{mongoServers[i]}:{port},");

            }

            else

            {

                mongoUriBuilder.Append($"{mongoServers[i]}:{port}/?");

            }

        }

        // Settings

        var applicationName = config["MongoDatabaseConfigs:ApplicationName"];

        mongoUriBuilder.Append($"replicaSet={replicaName}");

        mongoUriBuilder.Append($"&appName={applicationName}");

        mongoUriBuilder.Append($"&authSource={authDatabaseName}");

        mongoUriBuilder.Append($"&authMechanism={DEFAULT_AUTH_MECHANISM}");

        mongoUriBuilder.Append($"&connectTimeoutMS={DEFAULT_CONNECT_TIMEOUT_MS}");

        mongoUriBuilder.Append($"&serverSelectionTimeoutMS={DEFAULT_SERVER_SELECTION_TIMEOUT_MS}");

        mongoUriBuilder.Append($"&readPreference={DEFAULT_READ_PREFERENCE}");

        // TLS/SSL Auth

        var useTLS = Convert.ToBoolean(config["MongoDatabaseConfigs:UseTLS"] ?? "false");

        if (useTLS)

        {

            var allowInsecureTls = Convert.ToBoolean(config["MongoDatabaseConfigs:AllowInsecureTLS"] ?? "true");

            var sslCertificatePath = config["MongoDatabaseConfigs:SslCertificatePath"];

            mongoUriBuilder.Append($"&ssl={useTLS}");

            mongoUriBuilder.Append($"&net.ssl.CAFile={sslCertificatePath}");

            mongoUriBuilder.Append($"&net.ssl.allowInvalidCertificates={DEFAULT_SSL_INVALID_HOSTNAME_ALLOWED}");

        }

        return mongoUriBuilder.ToString();

    }

}

最终可以生成的连接字符串为:

mongodb://test_dev_user:test_dev_password@xxx01:27017.server.net,xxx02.server.net:27017,xxx03.server.net:27017/?replicaSet=myrs&appName=Todo&authSource=admin&authMechanism=SCRAM-SHA-256&connectTimeoutMS=10000&serverSelectionTimeoutMS=5000&readPreference=primaryPreferred&ssl=True&net.ssl.CAFile=/etc/pki/tls/certs/MyCustomCA.cer&net.ssl.allowInvalidCertificates=true

ASP.NET Core集成CAP

这里我们使用刚刚封装的方法来生成Mongo连接字符串,来快速集成CAP:

public static IServiceCollection AddApplicationEventBus(this IServiceCollection services, IConfiguration config)

{

    ......

    // CAP EventBus

    services.AddCap(option =>

    {

        // Transport

        option.UseKafka(option =>

        {

            option.Servers = config["EventBusConfigs:KafkaServers"]

                ?? throw new ArgumentException("EventBusConfigs:KafkaServers must be set!");

            option.ConnectionPoolSize = int.Parse(config["EventBusConfigs:CapConnectionPoolSize"]

                ?? ApplicationDefaultSettings.Default_ConnectionPool_Size);

            option.CustomHeaders = e => new List<KeyValuePair<string, string>>

                    {

                        new KeyValuePair<string, string>(Headers.MessageId, SnowflakeId.Default().NextId().ToString()),

                        new KeyValuePair<string, string>(Headers.MessageName, e.Topic)

                    };

            if (Convert.ToBoolean(config["EventBusConfigs:EnableAuthorization"] ?? "false"))

            {

                var userName = config["EventBusConfigs:SaslUserName"];

                var passWord = config["EventBusConfigs:SaslPassword"];

                if (string.IsNullOrWhiteSpace(userName) || string.IsNullOrWhiteSpace(passWord))

                    throw new ArgumentNullException("Kafka username or password can't be null!");

                option.MainConfig.Add(KafkaMainConfigKey.SECURITY_PROTOCOL, KafkaProtocol.SASL_SSL);

                option.MainConfig.Add(KafkaMainConfigKey.SASL_MECHANISM, KafkaAuthMechanism.PLAIN);

                option.MainConfig.Add(KafkaMainConfigKey.SASL_USERNAME, userName);

                option.MainConfig.Add(KafkaMainConfigKey.SASL_PASSWORD, passWord);

                if (!string.IsNullOrWhiteSpace(config["EventBusConfigs:SslCertificatePath"]))

                    option.MainConfig.Add(KafkaMainConfigKey.SSL_CA_LOCATION, config["EventBusConfigs:SslCertificatePath"]);

                if (!string.IsNullOrWhiteSpace(config["EventBusConfigs:EnableSslCertificateVerification"]))

                    option.MainConfig.Add(KafkaMainConfigKey.ENABLE_SSL_CERT_VERIFICATION, config["EventBusConfigs:EnableSslCertificateVerification"]);

            }

        });

        option.SucceedMessageExpiredAfter = 3600 * 24 * int.Parse(config["EventBusConfigs:CapSuccessMsgExpireDays"];

        // Storage

        option.UseMongoDB(option =>

        {

            option.DatabaseConnection = DbConnUtil.GetMongoDbConnectionString(config);

            option.DatabaseName = config["MongoDatabaseConfigs:DatabaseName"]

                ?? throw new ArgumentException("MongoDatabaseConfigs:DatabaseName must be set!");

            option.PublishedCollection = "msg.published";

            option.ReceivedCollection = "msg.received";

        });

    });

    ......

    return services;

}

小结

本文我们了解了如何在CAP中集成带基础身份验证(用户名/密码)+SSL根证书验证的MongoDB,方便CAP能够正常连接MongoDB并生成本地消息表,在网络信息安全越来越重视的现在,相信会对你使用CAP+MongoDB有一定帮助!

参考资料

CAP官方文档:https://cap.dotnetcore.xyz/user-guide/en/storage/mongodb/
MongoDB官方文档:https://www.mongodb.com/docs/v5.0/security/

作者:周旭龙

出处:https://edisonchou.cnblogs.com

本文版权归作者和博客园共有,欢迎转载,但未经作者同意必须保留此段声明,且在文章页面明显位置给出原文链接。

CAP项目集成带身份和证书验证的MongoDB的更多相关文章

  1. 无法在web服务器上启动调试。调试失败,因为没有启用集成windows身份验证

    ----注意:以管理员身份运行VS C#中ASP.NET Web应用程序编译时的错误:无法在web服务器上启动调试.调试失败,因为没有启用集成windows身份验证. 解决:打开IIS,在IIS里查看 ...

  2. Spring Cloud系列-Zuul网关集成JWT身份验证

    前言 这两三年项目中一直在使用比较流行的spring cloud框架,也算有一定积累,打算有时间就整理一些干货与大家分享. 本次分享zuul网关集成jwt身份验证 业务背景 项目开发少不了身份认证,j ...

  3. HttpHelpers类普通GET和POST方式,带Cookie和带证书验证模式

    HttpHelpers类普通GET和POST方式,带Cookie和带证书验证模式 参考路径:https://www.cnblogs.com/splendidme/archive/2011/09/14/ ...

  4. Android证书验证存漏洞 开发者身份信息可被篡改(转)

    原帖地址:http://bbs.pediy.com/showthread.php?p=1335278#post1335278 近期在国内网易,雷锋网等网站爆出谷歌市场上的索尼官方的备份与恢复应用&qu ...

  5. 微信支付HTTPS服务器证书验证指引

    1. 背景介绍 2. 常见问题 3. 验证证书 4. 安装证书 背景介绍 微信支付使用HTTPS来保证通信安全, 在HTTPS服务器上部署了由权威机构签发的证书, 用于证明微信支付平台的真实身份. 商 ...

  6. iOS-Cordova集成开发,已有项目集成cordova

    iOS-Cordova集成开发,已有项目集成cordova 项目组准备开发一个APP,要求Android和iOS端页面完全一致,除了一个页面跟业务相关的不同,其他界面基本一致,因此,萌生一个想法,关于 ...

  7. iOS 绕过https证书验证 请求数据

    HTTPS和HTTP: 1.https协议需要到ca申请证书,一般免费证书很少,需要交费. 2.http是超文本传输协议,信息是明文传输,https 则是具有安全性的ssl加密传输协议. 3.http ...

  8. Taurus.MVC 微服务框架 入门开发教程:项目集成:4、默认安全认证与自定义安全认证。

    系列目录: 本系列分为项目集成.项目部署.架构演进三个方向,后续会根据情况调整文章目录. 本系列第一篇:Taurus.MVC V3.0.3 微服务开源框架发布:让.NET 架构在大并发的演进过程更简单 ...

  9. 重温WCF之WCF传输安全(十三)(4)基于SSL的WCF对客户端采用证书验证(转)

    转载地址:http://www.cnblogs.com/lxblog/archive/2012/09/20/2695397.html 前一篇我们演示了基于SSL的WCF 对客户端进行用户名和密码方式的 ...

  10. 【腾讯Bugly干货分享】iOS 中 HTTPS 证书验证浅析

    本文来自于腾讯Bugly公众号(weixinBugly),未经作者同意,请勿转载,原文地址:https://mp.weixin.qq.com/s/-fLLTtip509K6pNOTkflPQ 导语 本 ...

随机推荐

  1. iOS气泡提示工具BubblePopup的使用

      在平时的开发中,通常新手引导页或功能提示页会出现气泡弹窗来做提示.如果遇到了这类功能通常需要花费一定的精力来写这么一个工具的,这里写了一个气泡弹窗工具,希望能帮你提升一些开发效率.   使用方法 ...

  2. PyTorch与机器学习中的随机化:减少噪声和随机性

    目录 2.1 基本概念解释 2.2 技术原理介绍 2.3 相关技术比较 3. 实现步骤与流程 3.1 准备工作:环境配置与依赖安装 3.2 核心模块实现 3.3 集成与测试 4. 应用示例与代码实现讲 ...

  3. PostMan如何联调SignalR WebSockets

    我们在调试SignalR的时候,往往要写多一个客户端对接联调.其实,在过去的几个版本中,Postman 已经能够使用 WebSocket 连接连接到 SignalR 中心并发送和接收消息. 设置请求 ...

  4. JS逆向实战20——某头条jsvm逆向

    声明 本文章中所有内容仅供学习交流,抓包内容.敏感网址.数据接口均已做脱敏处理,严禁用于商业用途和非法用途,否则由此产生的一切后果均与作者无关,若有侵权,请联系我立即删除! 网站 目标网站:aHR0c ...

  5. Blazor前后端框架Known功能介绍:系统安装激活及自定义

    本章介绍系统安装与激活及其自定义功能. 概述 框架内置简单的系统安装功能. 录入企业编码.名称.系统名称.产品密钥.管理员密码信息完成安装. 可自定义高级安装功能,如安装数据库等您产品所需的安装信息. ...

  6. 2023-07-15:给你一个 非递减 的正整数数组 nums 和整数 K, 判断该数组是否可以被分成一个或几个 长度至少 为 K 的 不相交的递增子序列。 输入:nums = [1,2,2,3,3,

    2023-07-15:给你一个 非递减 的正整数数组 nums 和整数 K, 判断该数组是否可以被分成一个或几个 长度至少 为 K 的 不相交的递增子序列. 输入:nums = [1,2,2,3,3, ...

  7. 2021-7-12 VUE的过滤器使用

    过滤器实例:转换首字母大写 <!DOCTYPE html> <html> <head> <title> </title> </head ...

  8. RobotFrameWork环境搭建及使用

    RF环境搭建 首先安装python并且配置python环境变量 pip install robotframework pip install robotframework-ride 生产桌面快捷方式 ...

  9. 安装 配置 正向 解析 DNS方法

    安装 配置 正向 解析 DNS方法 1,安装dhcp [root@localhost ~]#yum install bind* -y 2,关闭防火墙和selinux [root@localhost ~ ...

  10. 浏览器工作原理及V8引擎

    浏览器解析过程 当浏览器加载html资源时,会进行如下的解析过程 遇见 HTML 标记,构建 DOM 树 遇见 style/link 标记调用相应解析器处理CSS标记,并构建出CSS样式树 遇见 sc ...