什么是OAuth2认证

简单说,OAuth 就是一种授权机制。数据的所有者告诉系统,同意授权第三方应用进入系统,获取这些数据。系统从而产生一个短期的进入令牌(token),用来代替密码,供第三方应用使用。而IdentityServer4就是一个开源的OAuth2认证系统。网关与IdentityServer4集成之后,我们可以避免为内部的每个微服务集成IdentityServer4,可以避免很多重复的工作,而这也是网关的一个重要优势。

新建IdentityServer4服务

1.新增WebApi,并引用Nuget包IdentityServer4

2.新增校验证书,其中的证书文件通过openssl创建

2.1安装生成证书程序:https://slproweb.com/products/Win32OpenSSL.html(对应操作系统)

2.2生成证书【找到安装位置】

openssl req -newkey rsa:2048 -nodes -keyout chester.key -x509 -days 365 -out chester.cer

Country Name (2 letter code) [AU]:跳过所有步骤

openssl pkcs12 -export -in chester.cer -inkey chester.key -out chester.pfx

输入密码:123456 确认密码:123456 即可

3.新增配置信息

public class Config

    {

        public static IEnumerable<ApiResource> GetApiResources()

        {

            return new List<ApiResource>

              {

                new ApiResource("api1", "我的第一个API")

                {

                    UserClaims =

                    {

                        JwtClaimTypes.Audience

                    },

                    Scopes = new List<string>

                    {

                        "api"

                    },

                }

              };

        }

        public static IEnumerable<Client> GetClients()

        {

            return new List<Client>

            {

                new Client

                {

                    ClientId="client",//定义客户端ID

                    ClientSecrets=

                    {

                        new Secret("secret".Sha256())//定义客户端秘钥

                    },

                    AllowedGrantTypes = GrantTypes.ResourceOwnerPassword,//授权方式为用户密码模式授权,类型可参考GrantTypes枚举

                    AllowedScopes={ "api" }//允许客户端访问的范围

                }

            };

        }

        public static IEnumerable<ApiScope> ApiScopes =>

            new ApiScope[] { new ApiScope("api") };

        public static IEnumerable<IdentityResource> GetIdentityResources()

        {

            return new IdentityResource[]

            {

                new IdentityResources.OpenId()

            };

        }

    }

4.注入IdentityServer4

        public void ConfigureServices(IServiceCollection services)

        {

            services.AddIdentityServer()//注册服务

              //.AddDeveloperSigningCredential()

              .AddSigningCredential(new X509Certificate2("chester.pfx","123456") )

              .AddInMemoryApiResources(Config.GetApiResources())//配置类定义的授权范围

              .AddInMemoryClients(Config.GetClients())//配置类定义的授权客户端

               .AddInMemoryApiScopes(Config.ApiScopes)

              .AddTestUsers(new List<TestUser> { new TestUser { Username = "Admin", Password = "123456", SubjectId = "001", IsActive = true } });//模拟测试用户,这里偷懒了,用户可以单独管理,最好不要直接在这里New

            services.AddControllers();

        }

5.开启IdentityServer4中间件

app.UseIdentityServer();//添加中间件

6.然后启动IdentityServer4服务

配置Envoy

我们需要用到Envoy的envoy.filters.http.jwt_authn,需要注意的有以下几点

  • Envoy的过滤器加载是自上而下的,因此我们需要将此过滤器放到envoy.filters.http.router前
  • 另外我们需要在配置文件中配置jwt的jwks地址/.well-known/openid-configuration/jwks,jwks是JSON Web密钥集—一种用于共享公钥的JSON表示法,用于验证JWT签名
  • 并且我们需要配置ids4服务的cluster。

具体配置如下,需要注意的地方已标红

admin:

  address:

    socket_address:

      protocol: TCP

      address: 0.0.0.0

      port_value: 9902

static_resources:

  listeners:

  - name: listener_0

    address:

      socket_address:

        protocol: TCP

        address: 0.0.0.0

        port_value: 10000

    filter_chains:

    - filters:

      - name: envoy.filters.network.http_connection_manager

        typed_config:

          "@type": type.googleapis.com/envoy.extensions.filters.network.http_connection_manager.v3.HttpConnectionManager

          scheme_header_transformation:

            scheme_to_overwrite: http

          stat_prefix: ingress_http

          route_config:

            name: local_route

            virtual_hosts:

            - name: local_service

              domains: ["*"]

              routes:

              - match:

                  prefix: "/"

                route:

                  host_rewrite_literal: 192.168.43.94

                  cluster: service_envoyproxy_io

          http_filters:

          - name: envoy.filters.http.jwt_authn

            typed_config:

              "@type": type.googleapis.com/envoy.extensions.filters.http.jwt_authn.v3.JwtAuthentication

              providers:

                jwt_provider:

                  issuer: "http://192.168.43.94:7000"

                  audiences:

                    - "api1"

                  forward: true

                  remote_jwks:

                    http_uri:

                      uri: "http://192.168.43.94:7000/.well-known/openid-configuration/jwks"

                      cluster: jwtserver

                      timeout: 5s

              rules:

                - match:

                    prefix: "/"

                  requires:

                    provider_name: jwt_provider

          - name: envoy.filters.http.router

  clusters:

  - name: jwtserver

    connect_timeout: 0.25s

    type: STRICT_DNS

    lb_policy: ROUND_ROBIN

    load_assignment:

      cluster_name: jwtserver

      endpoints:

      - lb_endpoints:

        - endpoint:

            address:

              socket_address:

                address: 192.168.43.94

                port_value: 7000

  - name: service_envoyproxy_io

    connect_timeout: 30s

    type: strict_dns

    # Comment out the following line to test on v6 networks

    dns_lookup_family: V4_ONLY

    lb_policy: ROUND_ROBIN

    load_assignment:

      cluster_name: service_envoyproxy_io

      endpoints:

      - lb_endpoints:

        - endpoint:

            address:

              socket_address:

                address: 192.168.43.94

                port_value: 5000

启动envoy

docker run --rm -it -p 9902:9902 -p 10000:10000 -v D:/gateway/envoy/config/static/:/etc/envoy/ -v D:/gateway/envoy/logs:/logs envoyproxy/envoy-dev  -c /etc/envoy/envoy-jwt.yaml

验证jwt

我们直接访问http://192.168.43.94:10000/Name,不携带token,可以看到请求被拒绝,返回401

下面我们调用ids4的/connect/token接口获取token

将获取到的token放到Name接口的Header里,再次调用成功!!!

至此,我们通过Envoy+IdentityServer4实现了网关的JWT认证,可以节省内部微服务与IdentityServer4重复的集成工作,实现了统一处理认证逻辑。

Envoy实现.NET架构的网关(四)集成IdentityServer4实现OAuth2认证的更多相关文章

  1. Envoy实现.NET架构的网关(五)集成Redis实现限流

    什么是限流 限流即限制并发量,限制某一段时间只有指定数量的请求进入后台服务器,遇到流量高峰期或者流量突增时,把流量速率限制在系统所能接受的合理范围之内,不至于让系统被高流量击垮.而Envoy可以通过e ...

  2. 通过Envoy实现.NET架构的网关

    什么是Gateway 在微服务体系结构中,如果每个微服务通常都会公开一组精细终结点,这种情况可能会有以下问题 如果没有 API 网关模式,客户端应用将与内部微服务相耦合. 在客户端应用中,单个页面/屏 ...

  3. Envoy实现.NET架构的网关(二)基于控制平面的动态配置

    什么是控制平面 上一篇我们讲了文件系统的动态配置,这次我们来看看通过Control Panel来配置Envoy.控制平面就是一个提供Envoy配置信息的单独服务,我们可以通过这个服务来修改Envoy的 ...

  4. Envoy实现.NET架构的网关(三)代理GRPC

    什么是GRPC gRPC是一种与语言无关的高性能远程过程调用 (RPC) 框架.gRPC 的主要好处是: 现代.高性能.轻量级的 RPC 框架. 契约优先的 API 开发,默认使用协议缓冲区,与语言无 ...

  5. Angular SPA基于Ocelot API网关与IdentityServer4的身份认证与授权(四)

    在上一讲中,我们已经完成了一个完整的案例,在这个案例中,我们可以通过Angular单页面应用(SPA)进行登录,然后通过后端的Ocelot API网关整合IdentityServer4完成身份认证.在 ...

  6. NetCore项目实战篇05---添加Ocelot网关并集成identity server4认证

    今天来给我们的项目增加API网关,使用Ocelot. 它是系统暴露在外部的一个访问入口,这个有点像代理访问的家伙,就像一个公司的门卫承担着寻址.限制进入.安全检查.位置引导.等等功能.同时我们还要在网 ...

  7. Spring boot 入门(四):集成 Shiro 实现登陆认证和权限管理

    本文是接着上篇博客写的:Spring boot 入门(三):SpringBoot 集成结合 AdminLTE(Freemarker),利用 generate 自动生成代码,利用 DataTable 和 ...

  8. 微服务网关Ocelot加入IdentityServer4鉴权-.NetCore(.NET5)中使用

    Consul+Ocelot+Polly在.NetCore中使用(.NET5)-Consul服务注册,服务发现 Consul+Ocelot+Polly在.NetCore中使用(.NET5)-网关Ocel ...

  9. Angular SPA基于Ocelot API网关与IdentityServer4的身份认证与授权(一)

    好吧,这个题目我也想了很久,不知道如何用最简单的几个字来概括这篇文章,原本打算取名<Angular单页面应用基于Ocelot API网关与IdentityServer4+ASP.NET Iden ...

随机推荐

  1. python中dump与dumps的区别

    刚写了一个代吗,没有搞懂dump和dumps的区别,现在搞懂了,下班后在来整理import pickleq = [1,2,3,4]pickle.dump(q,open("cb1.txt&qu ...

  2. Django学习day05随堂笔记

    每日测验 """ 今日考题 1.反向解析的本质是什么,无名和有名反向解析如何操作? 2..路由分发能够实现的前提是什么,需要注意什么,名称空间什么时候使用 3..什么是虚 ...

  3. iGuard6.0 — 各适其用的网站防护体系

    ​随着互联网新技术的涌现,网站的架构技术和涉及的资源也日益多样且复杂化.这对网站各类资源的防护工作也提出了更高的挑战和更细粒度的需求. 我们经常碰到的用户真实需求包括: 我的 CMS 制作系统,会不会 ...

  4. Python日常Bug集

    1.TypeError: 'int' object is not iterable: 场景示例: data = 7 for i in data: print(i) # 原因:直接对int数据进行迭代造 ...

  5. C语言数组的创建和使用

    C语言数组的创建和使用 数组是一组相同类型元素的集合. 一维数组的创建及初始化 //创建int类型的数组 //直接创建:不对数组进行初始化 int arr1[10]; //最常用.好用的创建方式 in ...

  6. 我惊了!CompletableFuture居然有性能问题!

    你好呀,我是歪歪. 国庆的时候闲来无事,就随手写了一点之前说的比赛的代码,目标就是保住前 100 混个大赛的文化衫就行了. 现在还混在前 50 的队伍里面,稳的一比. 其实我觉得大家做柔性负载均衡那题 ...

  7. ping探测与Nmap扫描

    一.实验目的 学习信息收集的一般步骤 学会使用ping命令 利用Nmap工具进行信息搜集 二.实验环境 系统环境:一台windows7系统.一台XP系统.一台kali系统 软件环境:安装Wiresha ...

  8. java课堂测试3第一部分(未完善)

    package test3;import java.util.*; public class Grade2 { static String[][] mis=new String[500][4]; // ...

  9. print spooler LPF 打印机漏洞

    打印机漏洞 该漏洞可以通过创建打印机驱动和端口,实现任意文件写入,用于提权或者写入后门. 打印机调用流程:client通过RPC调用server的spoolsv.exe,spoolsv.exe是sys ...

  10. NX开发库版本问题

    有做NX二次开发的朋友经常问我这样的问题:我在NX8.0上开发的程序,可以在NX9.0上运行吗? 由于NX的开发库随着版本的更新也会不断更新,会增加新的方法,同时有些也会过时或者消失. 如下图:NX8 ...