.net core使用Ocelot+Identity Server统一网关验证

源码下载地址：下载

项目结构如下图：

在Identity Server授权中，实现IResourceOwnerPasswordValidator接口：

public class IdentityValidator : IResourceOwnerPasswordValidator

    {

        private readonly UserManager<ApplicationUser> _userManager;

        private readonly IHttpContextAccessor _httpContextAccessor;

        public IdentityValidator(

            UserManager<ApplicationUser> userManager,

            IHttpContextAccessor httpContextAccessor)

        {

            _userManager = userManager;

            _httpContextAccessor = httpContextAccessor;

        }

        public async Task ValidateAsync(ResourceOwnerPasswordValidationContext context)

        {

            string userName = context.UserName;

            string password = context.Password;            

            var user = await _userManager.FindByNameAsync(userName);

            if (user == null)

            {

                context.Result = new GrantValidationResult(TokenRequestErrors.InvalidClient, "用户不存在!");

                return;

            }

            var checkResult = await _userManager.CheckPasswordAsync(user, password);

            if (checkResult)

            {

                context.Result = new GrantValidationResult(

                         subject: user.Id,

                         authenticationMethod: "custom",

                         claims: _httpContextAccessor.HttpContext.User.Claims);

            }

            else

            {

                context.Result = new GrantValidationResult(TokenRequestErrors.InvalidGrant, "无效的客户身份!");

            }

        }

    }

单页面应用中，使用implicit的授权模式，需添加oidc-client.js，调用API的关键代码：

var config = {

    authority: "http://localhost:5000/",

    client_id: "JsClient",

    redirect_uri: "http://localhost:5500/callback.html",

    response_type: "id_token token",

    scope:"openid profile UserApi",

    post_logout_redirect_uri: "http://localhost:5500/index.html",

};

var mgr = new Oidc.UserManager(config);

mgr.getUser().then(function (user) {

    if (user) {

        log("User logged in", user.profile);

    }

    else {

        log("User not logged in");

    }

});

function login() {

    mgr.signinRedirect();

}

//api调用之前需登录

function api() {

    mgr.getUser().then(function (user) {

        if (user == null || user == undefined) {

            login();

        }

        var url = "http://localhost:9000/api/Values";

        var xhr = new XMLHttpRequest();

        xhr.open("GET", url);

        xhr.onload = function () {

            log(xhr.status, JSON.parse(xhr.responseText));

            alert(xhr.responseText);

        }

        xhr.setRequestHeader("Authorization", "Bearer " + user.access_token);

        xhr.setRequestHeader("sub", user.profile.sub);//这里拿到的是用户ID，传给API端进行角色权限验证

        xhr.send();

    });

}

function logout() {

    mgr.signoutRedirect();

}

统一网关通过Ocelot实现，添加Ocelot.json文件，并修改Program.cs文件：

        public static IWebHost BuildWebHost(string[] args) =>

            WebHost.CreateDefaultBuilder(args)

                .ConfigureAppConfiguration((hostingContext, builder) => {

                    builder

                    .SetBasePath(hostingContext.HostingEnvironment.ContentRootPath)

                    .AddJsonFile("Ocelot.json");

                })

                .UseUrls("http://+:9000")

                .UseStartup<Startup>()

                .Build();

StartUp.cs文件修改如下：

        public void ConfigureServices(IServiceCollection services)

        {

            services.AddOcelot();

            var authenticationProviderKey = "qka_api";

            services.AddAuthentication("Bearer")

                .AddIdentityServerAuthentication(authenticationProviderKey, options =>

                {

                    options.Authority = "http://localhost:5000";

                    options.RequireHttpsMetadata = false;

                    options.ApiName = "UserApi";

                });

            services.AddCors(options =>

            {

                options.AddPolicy("default", policy =>

                {

                    policy.AllowAnyOrigin()

                            .AllowAnyMethod()

                            .AllowAnyHeader()

                            .AllowCredentials();

                });

            });

        }

        public void Configure(IApplicationBuilder app, IHostingEnvironment env)

        {

            app.UseCors("default");

            app.UseOcelot().Wait();

        }

Ocelot.js配置文件如下：

{

  "ReRoutes": [

    {

      "DownstreamPathTemplate": "/{url}",

      "DownstreamScheme": "http",

      "ServiceName": "userapi", //consul中的userapi的service名称

      "LoadBalancer": "RoundRobin", //负载均衡算法

      "UseServiceDiscovery": true, //启用服务发现

      "UpstreamPathTemplate": "/{url}",

      "UpstreamHttpMethod": [ "GET", "POST", "DELETE", "PUT" ],

      "AuthenticationOptions": {

        "AuthenticationProviderKey": "qka_api",

        "AllowedScopes": []

      }

    },

    {

      "DownstreamPathTemplate": "/{url}",

      "DownstreamScheme": "http",

      "ServiceName": "identityserverapi", //consul中的userapi的service名称

      "LoadBalancer": "RoundRobin", //负载均衡算法

      "UseServiceDiscovery": true, //启用服务发现

      "UpstreamPathTemplate": "/{url}",

      "UpstreamHttpMethod": [ "GET", "POST", "DELETE", "PUT" ],

    }

  ],

  "GlobalConfiguration": {

    "BaseUrl": "http://localhost:9000",

    "ServiceDiscoveryProvider": {

      "Host": "192.168.2.144",//consul的地址

      "Port": 8500//consul的端口

    }

  }

}

asp.net core自带的基于角色授权需要像下图那样写死角色的名称，当角色权限发生变化时，需要修改并重新发布站点，很不方便。

所以我自定义了一个filter，实现角色授权验证：

public class UserPermissionFilterAttribute : ActionFilterAttribute

    {

        public override void OnActionExecuting(ActionExecutingContext context)

        {

            if (context.Filters.Any(item => item is IAllowAnonymousFilter))

            {

                return;

            }

            if (!(context.ActionDescriptor is ControllerActionDescriptor))

            {

                return;

            }

            var attributeList = new List<object>();

            attributeList.AddRange((context.ActionDescriptor as ControllerActionDescriptor).MethodInfo.GetCustomAttributes(true));

            attributeList.AddRange((context.ActionDescriptor as ControllerActionDescriptor).MethodInfo.DeclaringType.GetCustomAttributes(true));

            var authorizeAttributes = attributeList.OfType<UserPermissionFilterAttribute>().ToList();

            if (!authorizeAttributes.Any())

            {

                return;

            }

            var sub = context.HttpContext.Request.Headers["sub"];

            string path = context.HttpContext.Request.Path.Value.ToLower();

            string httpMethod = context.HttpContext.Request.Method.ToLower();

            /*todo:

            从数据库中根据role获取权限是否具有访问当前path和method的权限，

            因调用频繁，

            可考虑将角色权限缓存到redis中*/

            bool isAuthorized = true;

            if (!isAuthorized)

            {

                context.Result = new UnauthorizedResult();

                return;

            }

        }

    }

在需要授权的Action或Controller上加上该特性即可。

.net core使用Ocelot+Identity Server统一网关验证的更多相关文章

（10）学习笔记） ASP.NET CORE微服务 Micro-Service ---- Ocelot+Identity Server
用 JWT 机制实现验证的原理如下图: 认证服务器负责颁发 Token(相当于 JWT 值)和校验 Token 的合法性. 一. 相关概念 API 资源(API Resource):微博服务器接口. ...
Asp.net core 学习笔记 ( identity server 4 JWT Part )
更新 : id4 使用这个 DbContext 哦 dotnet ef migrations add identity-server-init --context PersistedGrantDbCo ...
Asp.Net Core: Swagger 与 Identity Server 4
Swagger不用多说,可以自动生成Web Api的接口文档和客户端调用代码,方便开发人员进行测试.通常我们只需要几行代码就可以实现这个功能: ... builder.Services.AddSwag ...
使用PostMan Canary测试受Identity Server 4保护的Web Api
在<Asp.Net Core: Swagger 与 Identity Server 4>一文中介绍了如何生成受保护的Web Api的Swagger文档,本文介绍使用PostMan Cana ...
.NET Core微服务之基于Ocelot+IdentityServer实现统一验证与授权
Tip: 此篇已加入.NET Core微服务基础系列文章索引一.案例结构总览这里,假设我们有两个客户端(一个Web网站,一个移动App),他们要使用系统,需要通过API网关(这里API网关始终作为 ...
.net core Ocelot Consul 实现API网关服务注册服务发现负载均衡
大神张善友分享过一篇 <.NET Core 在腾讯财付通的企业级应用开发实践>里面就是用.net core 和 Ocelot搭建的可扩展的高性能Api网关. Ocelot(http:// ...
系统集成之用户统一登录( LDAP + wso2 Identity Server)
本文场景: LDAP + wso2 Identity Server + asp.net声明感知场景 ,假定读者已经了解过ws-*协议族,及 ws-trust 和 ws-federation. 随着开 ...
从头编写asp.net core 2.0 web api 基础框架 (5) + 使用Identity Server 4建立Authorization Server (7) 可运行前后台源码
前台使用angular 5, 后台是asp.net core 2.0 web api + identity server 4. 从头编写asp.net core 2.0 web api 基础框架: 第 ...
ASP.NET Core Web API 索引 (更新Identity Server 4 视频教程)
GraphQL 使用ASP.NET Core开发GraphQL服务器 -- 预备知识(上) 使用ASP.NET Core开发GraphQL服务器 -- 预备知识(下) [视频] 使用ASP.NET C ...

随机推荐

iframe局部刷新的二种实现方法
需求描述: 当页面有一部分是不变的或整个页面的图片很多时,可以考虑使用局部刷新,以提高整体的下载速度与用户体验. 1,iframe实现局部刷新的方法一复制代码代码示例: <script t ...
nginx简单安装设置
1.Nginx ("engine x") 是一个高性能的HTTP和反向代理服务器,也是一个IMAP/POP3/SMTP服务器.Nginx是由Igor Sysoev为俄罗斯访问量第二 ...
linux下单独线程启动
void linux_start() { signal(2, signal_callback_handler); //signal(9, signal_callback_handler); pid_t ...
iOS Swift开发的一些坑
0.人难招,特别是对于没钱的小团队,大多数的iOS开发者没有Swift经验,有经验的也并不是很深入 0.1.语言unwrap坑,虽然有自动修正提示,但感觉代码过程不流畅. 1.Realm的缺憾: 最近 ...
Kotlin实践记录
Kotlin中网络请求和Json解析: Request(url).run()为Kotlin中的网络请求方式,Json解析是自己封装类的操作. Json.get().toObject(Request(u ...
java线程之线程同步
本篇由于涉及多线程操作,所以线程是使用实现Runnable接口来创建的. 在上篇所示线程任务中,我们不难发现,是存在三步操作的: 第一:打印语句: 第二:计算sum=sum-1: 第三:线程休眠. 那 ...
memcached安装、使用
Memcached客户端01:XMemcached 版本选择:2.0.0 XMemcached:https://github.com/killme2008/xmemcached XMemcac ...
vue 使用踩坑 note
1. 如图,假如large那一行错写成 'large': item.ext_data.isLarge + '' === 'true',, 那么,编译不报错,控制台无提示,模板不输出. 2. vue的t ...
Linux环境安装配置JDK
本文安装环境为Ubuntu14 64位,jdk版本为jdk1.6.0_38,安装文件名为jdk-6u38-linux-x64.bin(根据系统不同,下载不同的安装文件) 下载地址:http://www ...
esayui扩展验证方法
下面是关于平时中积累的esayui扩展验证方法仅作记录: /**************************************************************** ...

.net core使用Ocelot+Identity Server统一网关验证

.net core使用Ocelot+Identity Server统一网关验证的更多相关文章

随机推荐

热门专题