.net5微服务学习-IdentityServer4之Ocelot(二)

最新推荐文章于 2023-04-24 18:45:58 发布
最新推荐文章于 2023-04-24 18:45:58 发布
阅读量768 收藏 2
点赞数
分类专栏: .Net Core 网关 IdentityServer4
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/zhangshineng/article/details/114635618
版权
本文介绍如何利用IdentityServer4实现API服务的安全保护,包括配置步骤及网关服务的授权设置。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

使用IdentityServer4授权中心保护API服务的安全,用户只有通过服务中心获取到正确的令牌后,通过令牌访问授权应用。

 1、创建一个空的webapi项目,项目创建成功后,添加IdentityServer4依赖包

 

2、依赖包安装成功后,配置相关参数

添加如下类:

public class Config
    {
        public static IEnumerable<IdentityResource> GetIdentityResourceResources()
        {
            return new List<IdentityResource>
            {
                //必须要添加,否则报无效的scope错误
                new IdentityResources.OpenId()
            };
        }

        /// <summary>
        /// api资源列表
        /// </summary>
        /// <returns></returns>
        public static IEnumerable<ApiResource> GetApiResources()
        {
            //可访问的API资源(资源名,资源描述)
            return new List<ApiResource>
            {
                new ApiResource("Api.Catalog", "Api.Catalog"),
                new ApiResource("Api.Ordering", "Api.Ordering")
            };
        }

        /// <summary>
        /// 客户端列表
        /// </summary>
        /// <returns></returns>
        public static IEnumerable<Client> GetClients()
        {
            return new List<Client>
            {
                new Client
                {
                    ClientId = "client_Catalog", //访问客户端Id,必须唯一
                    //使用客户端授权模式,客户端只需要clientid和secrets就可以访问对应的api资源。
                    AllowedGrantTypes = GrantTypes.ClientCredentials,
                    ClientSecrets =
                    {
                        new Secret("secret".Sha256())
                    },
                    AllowedScopes = { "Api.Catalog", IdentityServerConstants.StandardScopes.OpenId,IdentityServerConstants.StandardScopes.Profile }
                },
                new  Client
                {
                    ClientId = "client_Ordering",
                    ClientSecrets = new [] { new Secret("secret".Sha256()) },
                    //这里使用的是通过用户名密码和ClientCredentials来换取token的方式. ClientCredentials允许Client只使用ClientSecrets来获取token. 这比较适合那种没有用户参与的api动作
                    AllowedGrantTypes = GrantTypes.ResourceOwnerPasswordAndClientCredentials,
                    AllowedScopes = { "Api.Ordering", IdentityServerConstants.StandardScopes.OpenId, IdentityServerConstants.StandardScopes.Profile }
                },
                new  Client
                {
                    ClientId = "clientid", //访问客户端Id,必须唯一
                    ClientSecrets =
                        {
                            new Secret("secret".Sha256())
                        },
                     RefreshTokenExpiration = TokenExpiration.Sliding,
                     AllowOfflineAccess = true,
                     RequireClientSecret = false,
                    //使用客户端授权模式,客户端只需要clientid和secrets就可以访问对应的api资源。
                    AllowedGrantTypes = new List<string>{ "authCode" },
                    AlwaysIncludeUserClaimsInIdToken = true,
                    AllowedScopes = {"Api.Catalog", "Api.Ordering", 
                        StandardScopes.OpenId,StandardScopes.OfflineAccess}
                }
            };
        }
    }

配置自定义GrantType验证:

  public class AuthCodeValidator : IExtensionGrantValidator
    {
        public string GrantType => "authCode";

        public async Task ValidateAsync(ExtensionGrantValidationContext context)
        {
            string authCode = context.Request.Raw["code"];

            var errorValidationResult = new GrantValidationResult(TokenRequestErrors.InvalidGrant);
            if (string.IsNullOrEmpty(authCode))
            {
                context.Result = errorValidationResult;
                return;
            }

            context.Result = new GrantValidationResult(authCode,GrantType);
        }
    }

接下来,在Startup.cs里面配置依赖、中间件:

public void ConfigureServices(IServiceCollection services)
        {
            services.AddControllers();
            services.AddSwaggerGen(c =>
            {
                c.SwaggerDoc("v1", new OpenApiInfo { Title = "Api.IdentityServer", Version = "v1" });
            });

            services.AddIdentityServer()
                .AddExtensionGrantValidator<AuthCodeValidator>()    //使用自定义认证
                .AddDeveloperSigningCredential()
                .AddInMemoryIdentityResources(Config.GetIdentityResourceResources())
                .AddInMemoryApiResources(Config.GetApiResources())
                .AddInMemoryClients(Config.GetClients());
                //.AddTestUsers(Config.Users().ToList());

            services.AddAuthentication();   // 依赖注入
        }

        // This method gets called by the runtime. Use this method to configure the HTTP request pipeline.
        public void Configure(IApplicationBuilder app, IWebHostEnvironment env)
        {
            if (env.IsDevelopment())
            {
                app.UseDeveloperExceptionPage();
                app.UseSwagger();
                app.UseSwaggerUI(c => c.SwaggerEndpoint("/swagger/v1/swagger.json", "Api.IdentityServer v1"));
            }

            app.UseHttpsRedirection();

            app.UseRouting();

            app.UseIdentityServer();

            app.UseAuthentication();// 使用认证中间件
            app.UseAuthorization();

            app.UseEndpoints(endpoints =>
            {
                endpoints.MapControllers();
            });
        }

配置完成后,查看效果图:

 最后,通过Ocelot提供的强大功能,配置对Api.Ordering、Api.Catelog两个接口服务添加授权访问

1.在网关服务里ocelog.json文件添加授权中心Route:

 {
        "UpstreamPathTemplate": "/identityserver4/{everything}",
        "DownstreamPathTemplate": "/{everything}",
        "UpstreamHttpMethod": ["Get", "Post" ],
        "DownstreamScheme": "http",
        "DownstreamHostAndPorts": [
          {
            "Host": "localhost",
            "Port": 8888
          }
        ]
      }

2.对需要保护的Api路由更新配置:

{
        "DownstreamPathTemplate": "/{everything}",
        "DownstreamScheme": "http",
        "DownstreamHostAndPorts": [
          {
            "Host": "localhost",
            "Port": 5051
          }
        ],
        "UpstreamPathTemplate": "/api1/{everything}",
        "UpstreamHttpMethod": [ "Get", "Post" ],
        "AuthenticationOptions": {
          "AuthenticationProviderKey": "Api.Catalog",
          "AllowedScopes": []
        }
      },
      {
        "DownstreamPathTemplate": "/{everything}",
        "DownstreamScheme": "http",
        "DownstreamHostAndPorts": [
          {
            "Host": "localhost",
            "Port": 5052
          }
        ],
        "UpstreamPathTemplate": "/api2/{everything}",
        "UpstreamHttpMethod": [ "Get", "Post" ],
        "AuthenticationOptions": {
          "AuthenticationProviderKey": "Api.Ordering",
          "AllowedScopes": [ "Api.Ordering" ]
        }
      }

3.在网关服务的Startup.cs文件里添加配置:

// This method gets called by the runtime. Use this method to add services to the container.
        public void ConfigureServices(IServiceCollection services)
        {

            services.AddControllers();
            services.AddSwaggerGen(c =>
            {
                c.SwaggerDoc("v1", new OpenApiInfo { Title = "ApiGateway.Ocelot", Version = "v1" });
            });

            services.AddAuthentication()
            .AddIdentityServerAuthentication("Api.Catalog", i =>
            {
                i.Authority = "http://localhost:8888";    //配置Identityserver的授权地址
                i.RequireHttpsMetadata = false;           //不需要https    
                i.ApiName = "Api.Catalog";                        //api的name,需要和config的名称相同
                i.SupportedTokens = SupportedTokens.Both;
            }).AddIdentityServerAuthentication("Api.Ordering", y =>
            {
                y.Authority = "http://localhost:8888";    //配置Identityserver的授权地址
                y.RequireHttpsMetadata = false;           //不需要https    
                y.ApiName = "Api.Ordering";                        //api的name,需要和config的名称相同
                y.SupportedTokens = SupportedTokens.Both;
            });

            // 注入Ocelot服务
            services.AddOcelot();
        }

        // This method gets called by the runtime. Use this method to configure the HTTP request pipeline.
        public void Configure(IApplicationBuilder app, IWebHostEnvironment env)
        {
            if (env.IsDevelopment())
            {
                app.UseDeveloperExceptionPage();
                app.UseSwagger();
                app.UseSwaggerUI(c => c.SwaggerEndpoint("/swagger/v1/swagger.json", "ApiGateway.Ocelot v1"));
            }

            app.UseHttpsRedirection();

            app.UseOcelot().Wait();    //使用中间件

            app.UseRouting();

            app.UseAuthorization();

            app.UseEndpoints(endpoints =>
            {
                endpoints.MapControllers();
            });
        }

 

 

最后查看网关ocelot配置好后的效果:

 

 

Consul+Ocelot搭建微服务实践--IdentityServer集成
Jonny的博客
06-16 2021
文章目录1、IdentityServer介绍2、建立IdentityServer2.1 安装IdentityServer42.2 定义配置中心2.2.1 定义Client2.2.2 定义ApiResource2.2.3定义IdentityResource3、配置IdentityServerOcelot中去3.1 添加配置文件3.2 进行测试4、总结5 附录 本篇幅所涉及的内容比较多,请园友有耐心...
ASP.NET-Core-5-with-IdentityServer4-JWT:使用Identity Server 4.NET Core 5以及通过JWT保护API服务器来开发令牌服务器
04-06
保护MicroService API:具有IdentityServer4 JWT的ASP.NET Core 5 使用Identity Server 4.NET Core 5以及带有JWT的Protecting API服务器来开发令牌服务器。 实施的技术: ASP.NET Core 5.0 身份服务器4 JwtBearer 招摇UI 政策和数据保护: 在IDENTITYSERVER4中扩展身份以管理ASP.NET CORE中的用户 ASP.NET CORE中使用IDENTITYSERVER4授权策略和数据保护 这些策略是在资源服务器(API服务器)上配置的,并且ASP.NET Core IdentityServer4将用户角色配置为与这些角色匹配。
IdentityServer4ocelot实现认证与客户端统一入口
weixin_30295091的博客
12-22 467
关于IdentityServer4ocelot博客园里已经有很多介绍我这里就不再重复了。 ocelotIdentityServer4组合认证博客园里也有很多,但大多使用ocelot内置的认证,而且大多都是用来认证API的,查找了很多资料也没看到如何认证oidc,所以这里的ocelot实际只是作为统一入口而不参与认证,认证的完成依然在客户端。代码是使用IdentityServer4的Quick...
一日一技:Ocelot网关使用IdentityServer4认证
https://github.com/conanl5566
03-16 559
概述 Ocelot是一个用.NET Core实现的开源API网关技术。IdentityServer4是一个基于OpenID Connect和OAuth2.0的针对ASP.NET Core的框架,以中间件的形式存在。OAuth是一种授权机制。系统产生一个短期的token,用来代替密码,供第三方应用使用。 下面来看下如何实现Ocelot基于IdentityServer4统一认证。 主要代码实现 1、新建认证项目,nuget安装id4 2、appsettings.json...
Ocelot网关使用IdentityServer4认证
燕雀安知鸿鹄之志
11-11 1622
第一步:新建一个api 做关网 在nuget里面先引用 ocelot ,同时也引用下 IdentityServer4.AccessTokenValidation 第步:在startup类中添加 这里需要添加 : 在ConfigureServices方法中添加 services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme) .AddIdentityServerAuthentication("...
.net core学习微服务ocelot集成IdentityServer4
qq_44994764的博客
04-24 1023
注意:AddIdentityServerAuthentication方法第一个参数要和ocelot中的AuthenticationProviderKey一致,options.ApiName要和id4服务config定义的ApiResources的Name一致。具体属性参考官网,默认会新增alice和bob两个测试用户,这里客户端我就写了一个,使用的授权码模式,简单来说就是用户授权通过后就可以获取到access_token,然后根据access_token去访问受保护的资源。
SecureMicroservice:使用OAuth,OpenID Connect和Ocelot API网关使用IdentityServer4保护.NET 5微服务
03-09
本文将深入探讨如何使用OAuth、OpenID Connect以及Ocelot API网关,结合IdentityServer4来确保.NET 5微服务的安全。 1. OAuth 2.0:OAuth是授权框架,允许第三方应用获取资源所有者(用户)的有限权限,而无需共享...
Consul+Ocelot+.NetCore Api+IdentityServer 4
12-28
Ocelot是一个用C#编写的API Gateway,它将自己定位为.NET微服务世界的Zuul。Ocelot的主要职责是路由HTTP请求,它可以将来自客户端的请求转发到后端服务,同时处理负载均衡、熔断和限流等功能。通过配置文件或API,...
IdentityServer4+Ocelot+.netcoreAPI的例子
08-18
描述".net core IdentityServer4+Ocelot+.netcoreAPI"进一步确认了技术栈,即基于.NET Core框架,具体包括用于身份验证的IdentityServer4,API路由和负载均衡的Ocelot,以及用.NET Core构建的API服务。 **知识点...
run-aspnet-identityserver4:使用独立的Identity Server 4并通过Ocelot API Gateway进行支持来保护微服务。 通过在IdentityServer4中使用OAuth 2和OpenID Connect保护我们的ASP.NET Web MVC和API应用程序。 使用令牌保护您的Web应用程序和API,使用声明,身份验证和授权中间件以及应用策略
01-29
通过Ocelot API网关支持的IdentityServer4,OAuth2和OpenID Connect保护微服务 具有折扣的UDEMY课程-逐步开发此存储库-> 在Medium-> 上查看此存储库的说明 整体图片 查看使用独立的Identity Server 4并在现实世界...
AspNet5IdentityServerAngularImplicitFlow:带有Angular和ASP.NET Core 5 IdentityServer4的OpenID连接代码隐式流
02-05
ASP.NET Core 5 IdentityServer4 OpenID Connect代码流/ OIDC隐式流示例Angular 建立 .NET 5,Angular 代码: : 帖子 不再维护的旧帖子 历史 2021-01-28更新了npm,nuget软件包 2020-11-20更新至.NET 5和Angular 11 2020-11-08更新为Azure.Security.KeyVault.Secrets 2020-11-07更新了.NET软件包,新增了招摇,更新了npm软件包 2020-09-15更新了IdentityServer4 4.1.0,Angular 10.1.1,
ASP.NET Core的身份认证框架IdentityServer45- 包和构建
weixin_34075551的博客
09-08 224
包和构建 IdentityServer有许多nuget包 IdentityServer4 nuget | github 包含IdentityServer核心对象模型,服务和中间件。 仅支持内存配置和用户存储,但您可以通过插件配置对其他存储的支持。 Quickstart UI github 包含一个简单的启动界面包括登录、注销和同意页。 Access token validation middlew...
Ocelot + IdentityServer4 坑自己
weixin_30713953的博客
09-25 547
现像是 connect/userinfo 可以访问 但是api都提示401 后面发现是在appsettings.json "Options": {"Authority": "http://localhost:端口号" } 里面给的地址是http://localhost:端口号,改成外网地址或者是域名ok了。 注意访问api的时候,这里是ip,那api也应该用ip,如果用域名,那api...
Ocelot + IdentityServer4 构建 GateWay
weixin_30919919的博客
05-11 183
上一篇已经构建好了例子,接下来将IdentityServer4添加到Ocelot中去实现 配置一个客户端配置,可以构建一个简单的客户端信息,这里我用的混合模式,配置比较多,对于客户端模式而言实际很多都不需要设置 只需要构如下即可 ClientId="liyouming", ClientName="ChinaNetCore", ClientSecrets={new S...
IdentityServer4 入门之一/之
极客神殿
05-29 843
IdentityServer4 快速入门,官网示例基于 .NET Core 2.0,这里使用 .NET Core 2.1 重新实现。 IdentityServer4 快速入门之一 IdentityServer4 官网示例地址:https://github.com/IdentityServer/IdentityServer4.Samples/tree/release/Quickstarts/1_ClientCredentials。 此示例使用 .NET Core 2.0 开发,我们这里升级为 .NET Cor
IdentityServer4 4.x版本 配置Scope的正确姿势
dz45693的专栏
07-04 4807
前言 IdentityServer4 是为ASP.NET Core系列量身打造的一款基于 OpenID Connect 和 OAuth 2.0 认证的框架 IdentityServer4官方文档:https://identityserver4.readthedocs.io/ 看这篇文章前默认你对IdentityServer4 已经有一些了解。 本篇使用IdentityServer44.x版本,跟老版本的稍微有些差别。下面直接进入正题。 鉴权中心 创建IdentityServer4项目 使
.NET 使用 Ocelot网关+IdentityServer4认证中心的项目架构
qq_16005627的博客
11-24 308
Ocelot网关+IdentityServer4认证中心+Consul服务认证和注册+nginx
记录我在NET5 WEBAPI + IdentityServer4 + CORS遇到的问题
红薯的香翔的博客
08-25 738
搞了一个项目,折腾了我一个星期,其中一个问题困扰了我三天。 首先,是为项目添加IdentityServer4 的客户端模式。 安装包为: startup中的ConfigureServices添加如下代码: #region 客户端模式 { //authorize url../connect/token services.AddIdentityServer()//怎么处理 .
ocelot+IdentityServer认证
jinyuttt的专栏
02-07 833
其实Duende.IdentityServer.AspNetIdentity时与web的集成,有兴趣的自己研究,我没有使用。前一篇简单提了一下,今天我整理了一下,IdentityServer4开源已经说明,项目迁移升级了。认证服务器,创建WebApi项目,nuget引入Duende.IdentityServerIdentityServer4的新版本,这里按照以前的方式简单介绍一下使用。创建配置类,可以照搬IdentityServer4的,这样通过登录返回token,就可以继续访问了。
OAuth与IdentityServer4.NET 5微服务中的应用
针对.NET 5微服务的安全性保护,使用OAuth、OpenID Connect和Ocelot API网关结合IdentityServer4提供了一种高效、安全的解决方案。 首先,我们来了解一下OAuth 2.0,这是一种广泛使用的授权协议,它允许第三方应用...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值