简介原文链接

      .net core使用ocelot---第一篇 简单使用

接上文,我将继续介绍使用asp.net core 创建API网关,主要介绍身份验证(authentication )相关内容。

API服务是需要保护的资源,我们应该尽可能的保证他们的安全。

通常,我们会使用aspnet security 来保证我们项目的安全,aspnet security代码库是为asp.net core 设计的安全和授权中间件。已经让事情变得简单。

那么我们在项目中引入API网关会不会导致巨大的改变?答案是,不会。我们的修改微乎其微,但是却让安全和授权变得简单。

先看下面的截图。

  截图显示,当我们访问我们的服务,API网关会让我们首先访问其授权模块。我们必须访问授权服务获得访问令牌(access token),然后用访问令牌访问受保护的服务。

可能你倾向将授权服务独立,这意味客户端得先访问授权服务获得访问令牌。然后携带令牌访问API网关。毫无疑问这样做没问题,但是我建议将授权服务和其他服务放在一起。

APIGateway是我们所有服务的入口,对于身份未验证的客户端仅可以访问授权服务。

OK,开始我们的表演。

我会使用上一个demo的部分内容,便于理解。

Step1

项目名称

项目类型

描述

APIGateway

ASP.NET Core Empty

示例的入口

CustomersAPIServices

ASP.NET Core Web API

API 服务处理消费者的操作

AuthServer

ASP.NET Core Web API

API 服务处理授权操作

ClientApp

Console App

控制台程序模拟客户端

  APIGateway和CustomerAPIServices和上篇文章的例子一样,你可以在APIGatewayBasicDemo获得。

Step2

创建AuthServer,AuthServer主要是为request请求生成访问令牌(access token),我们需要添加一个方法处理。

[HttpGet]

public IActionResult Get(string name, string pwd)

{

    //just hard code here.

    if (name == "catcher" && pwd == "")

    {

        var now = DateTime.UtcNow;  

        var claims = new Claim[]

        {

            new Claim(JwtRegisteredClaimNames.Sub, name),

            new Claim(JwtRegisteredClaimNames.Jti, Guid.NewGuid().ToString()),

            new Claim(JwtRegisteredClaimNames.Iat, now.ToUniversalTime().ToString(), ClaimValueTypes.Integer64)

        };  

        var signingKey = new SymmetricSecurityKey(Encoding.ASCII.GetBytes(_settings.Value.Secret));

        var tokenValidationParameters = new TokenValidationParameters

        {

            ValidateIssuerSigningKey = true,

            IssuerSigningKey = signingKey,

            ValidateIssuer = true,

            ValidIssuer = _settings.Value.Iss,

            ValidateAudience = true,

            ValidAudience = _settings.Value.Aud,

            ValidateLifetime = true,

            ClockSkew = TimeSpan.Zero,

            RequireExpirationTime = true,  

        };  

        var jwt = new JwtSecurityToken(

            issuer: _settings.Value.Iss,

            audience: _settings.Value.Aud,

            claims: claims,

            notBefore: now,

            expires: now.Add(TimeSpan.FromMinutes()),

            signingCredentials: new SigningCredentials(signingKey, SecurityAlgorithms.HmacSha256)

        );

        var encodedJwt = new JwtSecurityTokenHandler().WriteToken(jwt);

        var responseJson = new

        {

            access_token = encodedJwt,

            expires_in = (int)TimeSpan.FromMinutes().TotalSeconds

        };  

        return Json(responseJson);

    }

    else

    {

        return Json("");

    }

}

  在验证用户时。我使用硬编码将用户名写死,因为对于本文这个不是那么重要。

  这样我们就完成了授权服务,现在跑起来。

Step3

回到CustomersAPIServices项目,我们应该保护这个服务。

修改Startup,我们可以使用授权。在这我用JwtBearer进行授权,我会给TestKey设置默认的授权方案。TestKey我将在下面提到。

public void ConfigureServices(IServiceCollection services)

{

    var audienceConfig = Configuration.GetSection("Audience");  

    var signingKey = new SymmetricSecurityKey(Encoding.ASCII.GetBytes(audienceConfig["Secret"]));

    var tokenValidationParameters = new TokenValidationParameters

    {

        ValidateIssuerSigningKey = true,

        IssuerSigningKey = signingKey,

        ValidateIssuer = true,

        ValidIssuer = audienceConfig["Iss"],

        ValidateAudience = true,

        ValidAudience = audienceConfig["Aud"],

        ValidateLifetime = true,

        ClockSkew = TimeSpan.Zero,

        RequireExpirationTime = true,

    };  

    services.AddAuthentication()

            .AddJwtBearer("TestKey", x =>

             {

                 x.RequireHttpsMetadata = false;

                 x.TokenValidationParameters = tokenValidationParameters;

             });  

    services.AddMvc();

}

public void Configure(IApplicationBuilder app)

{

    app.UseAuthentication();

    app.UseMvc();

}

  接下来,对需要保护的方法,添加Authorize。

[Authorize]

[HttpGet]

public IEnumerable<string> Get()

{

    return new string[] { "Catcher Wong", "James Li" };

}

注意

该项目基于asp.net core 2.0. 如果你的项目是1.X,可能有些不同,建议用迁移迁移到2.0.以上。接下来就是见证奇迹的时候了。

Step4

最重要的步骤来了,在APIGateway中配置授权。

public void ConfigureServices(IServiceCollection services)

{

    var audienceConfig = Configuration.GetSection("Audience");  

    var signingKey = new SymmetricSecurityKey(Encoding.ASCII.GetBytes(audienceConfig["Secret"]));

    var tokenValidationParameters = new TokenValidationParameters

    {

        ValidateIssuerSigningKey = true,

        IssuerSigningKey = signingKey,

        ValidateIssuer = true,

        ValidIssuer = audienceConfig["Iss"],

        ValidateAudience = true,

        ValidAudience = audienceConfig["Aud"],

        ValidateLifetime = true,

        ClockSkew = TimeSpan.Zero,

        RequireExpirationTime = true,

    };  

    services.AddAuthentication()

            .AddJwtBearer("TestKey", x =>

             {

                 x.RequireHttpsMetadata = false;

                 x.TokenValidationParameters = tokenValidationParameters;

             });  

    services.AddOcelot(Configuration);

}

  这个配置的大部分代码和Customer Service一样。

  当Ocelot启动,它会查看ReRoutes 》AuthenticationOptions 》AuthenticationProviderKey 的值,

检查该值是否被授权服务注册,如果没有,Ocelot不会启动,如果有,Ocelot在执行时使用授权服务。

所以,我们得修改configuration.json,我们需要添加新的节点,并将其值赋为在Startup 类中定义的一样。

{

    "DownstreamPathTemplate": "/api/customers",

    "DownstreamScheme": "http",

    "DownstreamHost": "localhost",

    "DownstreamPort": ,

    "UpstreamPathTemplate": "/customers",

    "UpstreamHttpMethod": [ "Get" ],

    "AuthenticationOptions": {

        "AuthenticationProviderKey": "TestKey",

        "AllowedScopes": []

    }

}

  启动服务。

注意

当你启动项目时遇到下面的错误,你应该检查你的代码,查看AddJwtBearer 方法是否指明授权方案。

        Unhandled Exception: System.InvalidOperationException: Scheme already exists: Bearer

Step5

我们已经准备完毕,我们用我们的客户端模拟APIGateway的某些请求。

我们先添加获得访问令牌的方法。

private static string GetJwt()

{

    HttpClient client = new HttpClient();

    client.BaseAddress = new Uri( "http://localhost:9000");

    client.DefaultRequestHeaders.Clear();

    var res2 = client.GetAsync("/api/auth?name=catcher&pwd=123").Result;

    dynamic jwt = JsonConvert.DeserializeObject(res2.Content.ReadAsStringAsync().Result);

    return jwt.access_token;

}

接下来,编写通过APIGateway访问Customer Service方法的代码。

static void Main(string[] args)

{

    HttpClient client = new HttpClient();  

    client.DefaultRequestHeaders.Clear();

    client.BaseAddress = new Uri("http://localhost:9000");  

    // 1. without access_token will not access the service

    //    and return 401 .

    var resWithoutToken = client.GetAsync("/customers").Result;  

    //print something here   

    //2. with access_token will access the service

    //   and return result.

    client.DefaultRequestHeaders.Clear();

    var jwt = GetJwt();  

    client.DefaultRequestHeaders.Add("Authorization", $"Bearer {jwt}");

    var resWithToken = client.GetAsync("/customers").Result;  

    //print something here   

    //3. visit no auth service

    client.DefaultRequestHeaders.Clear();

    var res = client.GetAsync("/customers/1").Result;  

    //print something here   

    Console.Read();

}

运行结果。

  完工。

  源码在此

总结

没啥。

.net core使用ocelot---第二篇 身份验证的更多相关文章

  1. 【asp.net core 系列】13 Identity 身份验证入门

    0. 前言 通过前两篇我们实现了如何在Service层如何访问数据,以及如何运用简单的加密算法对数据加密.这一篇我们将探索如何实现asp.net core的身份验证. 1. 身份验证 asp.net ...

  2. 第二章 身份验证——《跟我学Shiro》

    转发:https://www.iteye.com/blog/jinnianshilongnian-2019547 目录贴:跟我学Shiro目录贴 身份验证,即在应用中谁能证明他就是他本人.一般提供如他 ...

  3. ASP.NET Core 学习笔记 第二篇 依赖注入

    前言 ASP.NET Core 应用在启动过程中会依赖各种组件提供服务,而这些组件会以接口的形式标准化,这些组件这就是我们所说的服务,ASP.NET Core框架建立在一个底层的依赖注入框架之上,它使 ...

  4. .net core使用ocelot---第五篇 服务质量

    简介 .net core使用ocelot---第一篇 简单使用  .net core使用ocelot---第二篇 身份验证使用 .net core使用ocelot---第三篇 日志记录  .net c ...

  5. .net core使用ocelot---第八篇 Consul

    简介 .net core使用ocelot---第一篇 简单使用   .net core使用ocelot---第二篇 身份验证使用  .net core使用ocelot---第三篇 日志记录  .net ...

  6. .net core使用ocelot---第七篇 服务发现

    简介 .net core使用ocelot---第一篇 简单使用   .net core使用ocelot---第二篇 身份验证使用  .net core使用ocelot---第三篇 日志记录  .net ...

  7. .net core使用ocelot---第六篇 负载均衡

    简介 .net core使用ocelot---第一篇 简单使用 .net core使用ocelot---第二篇 身份验证 .net core使用ocelot---第三篇 日志记录  .net core ...

  8. .net core使用ocelot---第四篇 限流熔断

    简介 .net core使用ocelot---第一篇 简单使用 .net core使用ocelot---第二篇 身份验证 .net core使用ocelot---第三篇 日志记录 前几篇文章我们陆续介 ...

  9. .net core使用ocelot---第三篇 日志记录

    简介 .net core使用ocelot---第一篇 简单使用 .net core使用ocelot---第二篇 身份验证使用 上篇介绍使用asp.net core 创建API网关.本文将介绍Ocelo ...

随机推荐

  1. XGBoost使用教程(与sklearn一起使用)二

    一.导入必要的工具包# 运行 xgboost安装包中的示例程序from xgboost import XGBClassifier # 加载LibSVM格式数据模块from sklearn.datase ...

  2. MySQL服务启动时显示本地计算机上的MySQL服务启动后停止。某些服务在。。。

    之前一直用的好端端的,这次启动服务突然就报了这错误. 更好的阅读体验可访问 这里. 起因 为了使用 LOAD_FILE 函数,在数据库配置文件 my.ini的 [mysqld] 里添加 secure_ ...

  3. Make Rounddog Happy(2019年杭电多校第十场1011+HDU6701+启发式分治)

    目录 题目链接 题意 思路 代码 题目链接 传送门 题意 求有多少个子区间满足\(a_l,a_{l+1},\dots,a_r\)均不相同且\(max(a_l,a_{l+1},\dots,a_r)-(r ...

  4. 201671030113 李星宇 实验十四 团队项目评审&课程学习总结

    项目 内容 所属课程 [所属课程(https://www.cnblogs.com/nwnu-daizh/) 作业要求 作业要求 课程学习目标 (1)掌握软件项目评审会流程:(2)反思总结课程学习内容 ...

  5. Python基础B(数据类型----交互)

    数据类型 数字类型 一.整型(int) age = 18 % age=int(18) print(id(age)) print(type(age)) print(age) 4530100848 < ...

  6. bzoj2187 fraction&&hdu3637 Find a Fraction——类欧几里得

    bzoj2187 多组询问,每次给出 $a, b, c, d$,求满足 $\frac{a}{b}  < \frac{p}{q} < \frac{c}{d}$ 的所有二元组 $(p, q)$ ...

  7. memcpy和strcpy的区别

    strcpy和memcpy主要有以下3方面的区别. 复制的内容不同.strcpy只能复制字符串,而memcpy可以复制任意内容,例如字符数组.整型.结构体.类等. 复制的方法不同.strcpy不需要指 ...

  8. IntelliJ IDEA 2019.2已经可以利用补丁永久破解激活了(持续更新)

    前面的文章中,一直在强调2019系列的idea无法使用补丁进行永久激活,但是最近发现,已经有大佬可以利用补丁将idea 2019.2及以下版本激活到2089年了,而且还不用改hosts,实在是佩服,不 ...

  9. Sql Server 数据库出现“可疑”的解决办法

    问题:数据库名称出现“可疑”字样 解决: 方法一: 重新还原数据库 方法二: 贴上语句:(DB_CS:你的数据库名) 第一步: ALTER DATABASE DB_CS SET EMERGENCY 第 ...

  10. 【计算机视觉】stitching_detail算法介绍

    已经不负责图像拼接相关工作,有技术问题请自己解决,谢谢. 一.stitching_detail程序运行流程 1.命令行调用程序,输入源图像以及程序的参数 2.特征点检测,判断是使用surf还是orb, ...