如何在ASP.NETCore3.1項目中實現(xiàn)一個Ocelot認證功能-創(chuàng)新互聯(lián)

如何在ASP.NET Core3.1項目中實現(xiàn)一個Ocelot認證功能？針對這個問題，這篇文章詳細介紹了相對應的分析和解答，希望可以幫助更多想解決這個問題的小伙伴找到更簡單易行的方法。

創(chuàng)新互聯(lián)堅持“要么做到，要么別承諾”的工作理念，服務領域包括：網(wǎng)站設計制作、網(wǎng)站設計、企業(yè)官網(wǎng)、英文網(wǎng)站、手機端網(wǎng)站、網(wǎng)站推廣等服務，滿足客戶于互聯(lián)網(wǎng)時代的峨眉山網(wǎng)站設計、移動媒體設計的需求，幫助企業(yè)找到有效的互聯(lián)網(wǎng)解決方案。努力成為您成熟可靠的網(wǎng)絡建設合作伙伴！

1.認證

當客戶端通過Ocelot訪問下游服務的時候，為了保護下游資源服務器會進行認證鑒權，這時候需要在Ocelot添加認證服務。添加認證服務后，隨后Ocelot會基于授權密鑰授權每個請求可以訪問的資源。用戶必須像往常一樣在其Startup.cs中注冊身份驗證服務，但是他們?yōu)槊看巫蕴峁┮粋€方案（身份驗證提供者密鑰），例如：

public void ConfigureServices(IServiceCollection services)
{
  var authenticationProviderKey = "TestKey";
  services.AddAuthentication()
    .AddJwtBearer(authenticationProviderKey, x =>
    {
    });
}

在此Ocelot認證項目示例中，TestKey是已注冊此提供程序的方案，然后將其映射到網(wǎng)關項目Routes路由中：

{
  "Routes": [
    {
      "DownstreamPathTemplate": "/api/customers",
      "DownstreamScheme": "http",
      "DownstreamHost": "localhost",
      "DownstreamPort": 9001,
      "UpstreamPathTemplate": "/customers",
      "UpstreamHttpMethod": [ "Get" ],
      "AuthenticationOptions": {
        "AuthenticationProviderKey": "TestKey",
        "AllowedScopes": []
      }
    }
  ]
}

Ocelot運行時，它將查看Routes.AuthenticationOptions.AuthenticationProviderKey并檢查是否存在使用給定密鑰注冊的身份驗證提供程序。如果不存在，則Ocelot將不會啟動，如果存在，則Routes將在執(zhí)行時使用該提供程序。如果對路由進行身份驗證，Ocelot將在執(zhí)行身份驗證中間件時調(diào)用與之關聯(lián)的任何方案。如果請求通過身份驗證失敗，Ocelot將返回http狀態(tài)代碼401。

2.JWT Tokens Bearer認證

Json Web Token (JWT)，是為了在網(wǎng)絡應用環(huán)境間傳遞聲明而執(zhí)行的一種基于JSON的開放標準（RFC 7519）。該token被設計為緊湊且安全的，特別適用于分布式站點的單點登錄（SSO）場景。JWT的聲明一般被用來在身份提供者和服務提供者間傳遞被認證的用戶身份信息，以便于從資源服務器獲取資源，也可以增加一些額外的其它業(yè)務邏輯所必須的聲明信息，該token也可直接被用于認證，也可被加密。

2.1JWT令牌結構

在緊湊的形式中，JSON Web Tokens由dot（.）分隔的三個部分組成，它們是：Header頭、Payload有效載荷、Signature簽名。因此，JWT通常如下所示：xxxxx.yyyyy.zzzzz（Header.Payload.Signature）。

2.1.1Header頭

標頭通常由兩部分組成：令牌的類型，即JWT，以及正在使用的簽名算法，例如HMAC SHA256或RSA。例如：

{
 "alg": "HS256",
 "typ": "JWT"
}

然后，這個JSON被編碼為Base64Url，形成JWT的第一部分。

2.1.2Payload有效載荷

Payload部分也是一個JSON對象，用來存放實際需要傳遞的數(shù)據(jù)。JWT規(guī)定了7個官方字段，供選用。

• iss (issuer)：簽發(fā)人

• exp (expiration time)：過期時間

• sub (subject)：主題

• aud (audience)：受眾

• nbf (Not Before)：生效時間

• iat (Issued At)：簽發(fā)時間

• jti (JWT ID)：編號

除了官方字段，你還可以在這個部分定義私有字段，下面就是一個例子。例如：

{
 "sub": "1234567890",
 "name": "John Doe",
 "admin": true
}

注意，JWT默認是不加密的，任何人都可以讀到，所以不要把秘密信息放在這個部分。這個JSON對象也要使用Base64URL算法轉(zhuǎn)成字符串。

2.1.3.Signature簽名

Signature部分是前兩部分的簽名，防止數(shù)據(jù)篡改。首先，需要指定一個密鑰（secret）。這個密鑰只有服務器才知道，不能泄露給用戶。然后，使用Header里面指定的簽名算法（默認是HMAC SHA256），按照下面的公式產(chǎn)生簽名：

HMACSHA256(
 base64UrlEncode(header) + "." +
 base64UrlEncode(payload),
 secret)

簽名用于驗證消息在此過程中未被更改，并且，在使用私鑰簽名的令牌的情況下，它還可以驗證JWT的發(fā)件人是否是它所聲稱的人。把他們?nèi)齻€全部放在一起，輸出是三個由點分隔的Base64-URL字符串，可以在HTML和HTTP環(huán)境中輕松傳遞，而與基于XML的標準（如SAML）相比更加緊湊。下面顯示了一個JWT，它具有先前的頭和有效負載編碼，并使用機密簽名：

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9
.eyJodHRwOi8vc2NoZW1hcy54bWxzb2FwLm9yZy93cy8yMDA1LzA1L2lkZW50aXR5L2NsYWltcy9uYW1lIjoid3prNzAzIiwibmJmIjoiMTU5MjE0MzkzNyIsImV4cCI6MTU5MjE0Mzk5OCwiaXNzIjoiYXV0aC5qd3QuY2MiLCJhdWQiOiJkZW5nd3V8MjAyMC82LzE0IDIyOjEyOjE5In0
.4RiwhRy0rQkZjclOFWyTpmW7v0AMaL3aeve1L-eWIz0

其實一般發(fā)送用戶名和密碼獲取token那是由Identity4來完成的，包括驗證用戶，生成JwtToken。但是項目這里是由System.IdentityModel.Tokens類庫來生成JwtToken。最后返回jwt令牌token給用戶。JwtToken解碼可以通過https://jwt.io/中進行查看。

3.項目演示

3.1APIGateway項目

在該項目中啟用身份認證來保護下游api服務，使用JwtBearer認證，將默認的身份驗證方案設置為TestKey。在appsettings.json文件中配置認證中密鑰（Secret）跟受眾（Aud）信息：

{
  "Audience": {
    "Secret": "Y2F0Y2hlciUyMHdvbmclMjBsb3ZlJTIwLm5ldA==",
    "Iss": "http://www.c-sharpcorner.com/members/catcher-wong",
    "Aud": "Catcher Wong"
  }
}

Startup添加身份認證代碼如下：

public void ConfigureServices(IServiceCollection services)
{
  //獲取appsettings.json文件中配置認證中密鑰（Secret）跟受眾（Aud）信息
  var audienceConfig = Configuration.GetSection("Audience");
  //獲取安全秘鑰
  var signingKey = new SymmetricSecurityKey(Encoding.ASCII.GetBytes(audienceConfig["Secret"]));
  //token要驗證的參數(shù)集合
  var tokenValidationParameters = new TokenValidationParameters
  {
    //必須驗證安全秘鑰
    ValidateIssuerSigningKey = true,
    //賦值安全秘鑰
    IssuerSigningKey = signingKey,
    //必須驗證簽發(fā)人
    ValidateIssuer = true,
    //賦值簽發(fā)人
    ValidIssuer = audienceConfig["Iss"],
    //必須驗證受眾
    ValidateAudience = true,
    //賦值受眾
    ValidAudience = audienceConfig["Aud"],
    //是否驗證Token有效期，使用當前時間與Token的Claims中的NotBefore和Expires對比
    ValidateLifetime = true,
    //允許的服務器時間偏移量
    ClockSkew = TimeSpan.Zero,
    //是否要求Token的Claims中必須包含Expires
    RequireExpirationTime = true,
  };
  //添加服務驗證，方案為TestKey
  services.AddAuthentication(o =>
  {
    o.DefaultAuthenticateScheme = "TestKey";
  })
  .AddJwtBearer("TestKey", x =>
    {
      x.RequireHttpsMetadata = false;
      //在JwtBearerOptions配置中，IssuerSigningKey(簽名秘鑰)、ValidIssuer(Token頒發(fā)機構)、ValidAudience(頒發(fā)給誰)三個參數(shù)是必須的。
      x.TokenValidationParameters = tokenValidationParameters;
    });
  //添加Ocelot網(wǎng)關服務時,包括Secret秘鑰、Iss簽發(fā)人、Aud受眾
  services.AddOcelot(Configuration);
}
public async void Configure(IApplicationBuilder app, IHostingEnvironment env)
{
  //使用認證服務
  app.UseAuthentication();
  //使用Ocelot中間件
  await app.UseOcelot();
}

3.1.1Identity Server承載JWT Token

在第二小節(jié)介紹JWT Token認證時候，我們都知道一般發(fā)送用戶名和密碼獲取Token那是由Identity4來完成的，包括驗證用戶，生成JWT Token。也就是說Identity Server承載了JWT Token認證功能。為了使用IdentityServer承載Token，請像往常一樣在ConfigureServices中使用方案（密鑰）注冊IdentityServer服務。如果您不知道如何執(zhí)行此操作，請查閱IdentityServer文檔。

public void ConfigureServices(IServiceCollection services)
{
  var authenticationProviderKey = "TestKey";
  Action<IdentityServerAuthenticationOptions> options = o =>
    {
      o.Authority = "https://whereyouridentityserverlives.com";
      o.ApiName = "api";
      o.SupportedTokens = SupportedTokens.Both;
      o.ApiSecret = "secret";
    };
  services.AddAuthentication()
    .AddIdentityServerAuthentication(authenticationProviderKey, options);
  services.AddOcelot();
}

在Identity4中是由Authority參數(shù)指定OIDC服務地址，OIDC可以自動發(fā)現(xiàn)Issuer, IssuerSigningKey等配置，而o.Audience與x.TokenValidationParameters = new TokenValidationParameters { ValidAudience = "api" }是等效的。

3.2AuthServer項目

此服務主要用于客戶端請求受保護的資源服務器時，認證后產(chǎn)生客戶端需要的JWT Token，生成JWT Token關鍵代碼如下：

[Route("api/[controller]")]
public class AuthController : Controller
{
  private IOptions<Audience> _settings;
  public AuthController(IOptions<Audience> settings)
  {
    this._settings = settings;
  }
  /// <summary>
  ///用戶使用 用戶名密碼 來請求服務器
  ///服務器進行驗證用戶的信息
  ///服務器通過驗證發(fā)送給用戶一個token
  ///客戶端存儲token，并在每次請求時附送上這個token值, headers: {'Authorization': 'Bearer ' + token}
  ///服務端驗證token值，并返回數(shù)據(jù)
  /// </summary>
  /// <param name="name"></param>
  /// <param name="pwd"></param>
  /// <returns></returns>
  [HttpGet]
  public IActionResult Get(string name, string pwd)
  {
    //驗證登錄用戶名和密碼
    if (name == "catcher" && pwd == "123")
    {
      var now = DateTime.UtcNow;
      //添加用戶的信息，轉(zhuǎn)成一組聲明，還可以寫入更多用戶信息聲明
      var claims = new Claim[]
      {
        //聲明主題
        new Claim(JwtRegisteredClaimNames.Sub, name),
          //JWT ID 標識符
        new Claim(JwtRegisteredClaimNames.Jti, Guid.NewGuid().ToString()),
          //發(fā)布時間戳 issued timestamp
        new Claim(JwtRegisteredClaimNames.Iat, now.ToUniversalTime().ToString(), ClaimValueTypes.Integer64)
      };
      //下面使用 Microsoft.IdentityModel.Tokens幫助庫下的類來創(chuàng)建JwtToken

      //安全秘鑰
      var signingKey = new SymmetricSecurityKey(Encoding.ASCII.GetBytes(_settings.Value.Secret));

      //聲明jwt驗證參數(shù)
      var tokenValidationParameters = new TokenValidationParameters
      {
        //必須驗證安全秘鑰
        ValidateIssuerSigningKey = true,
        //賦值安全秘鑰
        IssuerSigningKey = signingKey,
        //必須驗證簽發(fā)人
        ValidateIssuer = true,
        //賦值簽發(fā)人
        ValidIssuer = _settings.Value.Iss,
        //必須驗證受眾
        ValidateAudience = true,
        //賦值受眾
        ValidAudience = _settings.Value.Aud,
        //是否驗證Token有效期，使用當前時間與Token的Claims中的NotBefore和Expires對比
        ValidateLifetime = true,
        //允許的服務器時間偏移量
        ClockSkew = TimeSpan.Zero,
        //是否要求Token的Claims中必須包含Expires
        RequireExpirationTime = true,
      };
      var jwt = new JwtSecurityToken(
        //jwt簽發(fā)人
        issuer: _settings.Value.Iss,
        //jwt受眾
        audience: _settings.Value.Aud,
        //jwt一組聲明
        claims: claims,
        notBefore: now,
        //jwt令牌過期時間
        expires: now.Add(TimeSpan.FromMinutes(2)),
        //簽名憑證: 安全密鑰、簽名算法
        signingCredentials: new SigningCredentials(signingKey, SecurityAlgorithms.HmacSha256)
      );
      //生成jwt令牌(json web token)
      var encodedJwt = new JwtSecurityTokenHandler().WriteToken(jwt);
      var responseJson = new
      {
        access_token = encodedJwt,
        expires_in = (int)TimeSpan.FromMinutes(2).TotalSeconds
      };
      return Json(responseJson);
    }
    else
    {
      return Json("");
    }
  }
}
public class Audience
{
  public string Secret { get; set; }
  public string Iss { get; set; }
  public string Aud { get; set; }
}

appsettings.json文件中配置認證中密鑰（Secret）跟受眾（Aud）信息：

{
  "Audience": {
    "Secret": "Y2F0Y2hlciUyMHdvbmclMjBsb3ZlJTIwLm5ldA==",
    "Iss": "http://www.c-sharpcorner.com/members/catcher-wong",
    "Aud": "Catcher Wong"
  }
}

3.3CustomerAPIServices項目

該項目跟APIGateway項目是一樣的，為了保護下游api服務，使用JwtBearer認證，將默認的身份驗證方案設置為TestKey。在appsettings.json文件中配置認證中密鑰（Secret）跟受眾（Aud）信息：

{
  "Audience": {
    "Secret": "Y2F0Y2hlciUyMHdvbmclMjBsb3ZlJTIwLm5ldA==",
    "Iss": "http://www.c-sharpcorner.com/members/catcher-wong",
    "Aud": "Catcher Wong"
  }
}

Startup添加身份認證代碼如下：

public void ConfigureServices(IServiceCollection services)
{
  //獲取appsettings.json文件中配置認證中密鑰（Secret）跟受眾（Aud）信息
  var audienceConfig = Configuration.GetSection("Audience");
  //獲取安全秘鑰
  var signingKey = new SymmetricSecurityKey(Encoding.ASCII.GetBytes(audienceConfig["Secret"]));
  //token要驗證的參數(shù)集合
  var tokenValidationParameters = new TokenValidationParameters
  {
    //必須驗證安全秘鑰
    ValidateIssuerSigningKey = true,
    //賦值安全秘鑰
    IssuerSigningKey = signingKey,
    //必須驗證簽發(fā)人
    ValidateIssuer = true,
    //賦值簽發(fā)人
    ValidIssuer = audienceConfig["Iss"],
    //必須驗證受眾
    ValidateAudience = true,
    //賦值受眾
    ValidAudience = audienceConfig["Aud"],
    //是否驗證Token有效期，使用當前時間與Token的Claims中的NotBefore和Expires對比
    ValidateLifetime = true,
    //允許的服務器時間偏移量
    ClockSkew = TimeSpan.Zero,
    //是否要求Token的Claims中必須包含Expires
    RequireExpirationTime = true,
  };
  //添加服務驗證，方案為TestKey
  services.AddAuthentication(o =>
  {
    o.DefaultAuthenticateScheme = "TestKey";
  })
  .AddJwtBearer("TestKey", x =>
    {
      x.RequireHttpsMetadata = false;
      //在JwtBearerOptions配置中，IssuerSigningKey(簽名秘鑰)、ValidIssuer(Token頒發(fā)機構)、ValidAudience(頒發(fā)給誰)三個參數(shù)是必須的。
      x.TokenValidationParameters = tokenValidationParameters;
    });

  services.AddMvc();
}
public void Configure(IApplicationBuilder app)
{
  //使用認證服務
  app.UseAuthentication();
  app.UseMvc();
}

在CustomersController下添加一個需要認證方法，一個不需要認證方法：

[Route("api/[controller]")]
public class CustomersController : Controller
{
  //添加認證屬性
  [Authorize]
  [HttpGet]
  public IEnumerable<string> Get()
  {
    return new string[] { "Catcher Wong", "James Li" };
  }
  [HttpGet("{id}")]
  public string Get(int id)
  {
    return $"Catcher Wong - {id}";
  }
}

3.4ClientApp項目

該項目是用來模擬客戶端訪問資源服務器整個認證流程測試項目，在Program主程序可以看到如下代碼：

class Program
{
  static void Main(string[] args)
  {
    HttpClient client = new HttpClient();

    client.DefaultRequestHeaders.Clear();
    client.BaseAddress = new Uri("http://localhost:9000");

    // 1. without access_token will not access the service
    //  and return 401 .
    var resWithoutToken = client.GetAsync("/customers").Result;

    Console.WriteLine($"Sending Request to /customers , without token.");
    Console.WriteLine($"Result : {resWithoutToken.StatusCode}");

    //2. with access_token will access the service
    //  and return result.
    client.DefaultRequestHeaders.Clear();
    Console.WriteLine("\nBegin Auth....");
    var jwt = GetJwt();
    Console.WriteLine("End Auth....");
    Console.WriteLine($"\nToken={jwt}");

    client.DefaultRequestHeaders.Add("Authorization", $"Bearer {jwt}");
    var resWithToken = client.GetAsync("/customers").Result;

    Console.WriteLine($"\nSend Request to /customers , with token.");
    Console.WriteLine($"Result : {resWithToken.StatusCode}");
    Console.WriteLine(resWithToken.Content.ReadAsStringAsync().Result);

    //3. visit no auth service
    Console.WriteLine("\nNo Auth Service Here ");
    client.DefaultRequestHeaders.Clear();
    var res = client.GetAsync("/customers/1").Result;

    Console.WriteLine($"Send Request to /customers/1");
    Console.WriteLine($"Result : {res.StatusCode}");
    Console.WriteLine(res.Content.ReadAsStringAsync().Result);

    Console.Read();
  }
  private static string GetJwt()
  {
    HttpClient client = new HttpClient();

    client.BaseAddress = new Uri( "http://localhost:9000");
    client.DefaultRequestHeaders.Clear();

    var res2 = client.GetAsync("/api/auth?name=catcher&pwd=123").Result;

    dynamic jwt = JsonConvert.DeserializeObject(res2.Content.ReadAsStringAsync().Result);

    return jwt.access_token;
  }
}

運行項目看看測試結果：

結合代碼，我們能看到當客戶端通過Ocelot網(wǎng)關訪問下游服務http://localhost:9000/api/Customers/Get方法時候，因為該方法是需要通過認證才返回處理結果的，所以會進行JWT Token認證，如果發(fā)現(xiàn)沒有Token，Ocelot則返回http狀態(tài)代碼401拒絕訪問。如果我們通過GetJwt方法在AuthServer服務上登錄認證獲取到授權Token，然后再訪問該資源服務器接口，立即就會返回處理結果，通過跟而未加認證屬性的http://localhost:9000/api/Customers/Get/{id}方法對比，我們就知道，Ocelot認證已經(jīng)成功了!

關于如何在ASP.NET Core3.1項目中實現(xiàn)一個Ocelot認證功能問題的解答就分享到這里了，希望以上內(nèi)容可以對大家有一定的幫助，如果你還有很多疑惑沒有解開，可以關注創(chuàng)新互聯(lián)行業(yè)資訊頻道了解更多相關知識。

標題名稱：如何在ASP.NETCore3.1項目中實現(xiàn)一個Ocelot認證功能-創(chuàng)新互聯(lián)
文章鏈接：http://bm7419.com/article14/ddjege.html

成都網(wǎng)站建設公司_創(chuàng)新互聯(lián)，為您提供App設計、品牌網(wǎng)站制作、小程序開發(fā)、網(wǎng)站內(nèi)鏈、企業(yè)網(wǎng)站制作、電子商務

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)