AspNetCore中使用Ocelot之 IdentityServer4（1）

前言：

OceLot網關是基於AspNetCore 產生的可擴展的高性能的企業級Api網關，目前已經基於2.0 升級版本升級，在使用AspNetCore 開發的時候可以使用2.0版本了，

開源項目Ocelot 張大隊長是主力的參與人員，以前提起張大隊前面都會加個騰訊，張大隊於2018年8月8日 正式離開了騰訊，回歸了真我，這里祝張大隊：事事順心。

OceLot是開源的，開源協議是MIT，所以我們可以大膽放心的使用。

 

OceLot 的GitHub地址：https://github.com/ThreeMammals/Ocelot

OceLot 的中文文檔：https://blog.csdn.net/sD7O95O/article/details/79623654

 

目前OceLot  已經成為了一個使用AspNetCore 幾乎 必會的一項技術了，所以關注，並且要學習，或者已經在使用的.net 開發人員可以關注並學習了解一下OceLot，

Ocelot的功能：

　　1、基於IdentityServer4的認證
　　2、Consul的注冊發現
　　3、單機的限流控制
　　4、基於Polly的使用
　　5、支持Http以及其他的rpc通訊
　　6、網關集群
  　　    等功能，

可以看出非常的強大。接下來我們將Ocelot的功能基於AspNetCore 進行實現。首先學習一下IdentityServer4

1、基於IdentityServer4的認證

在使用之前我們先明白IdentityServer4 是什么以及使用原理。

文檔地址：http://docs.identityserver.io/en/release/

中文文檔：網上也有 推薦 ：https://www.cnblogs.com/ideck/

IdentityServer 認證的作用是，不是誰想登錄我的Web就能登錄的，也不是誰想使用我的接口就能使用的，不經過我的同意就想使用我的服務那是不存在的，除非你是故意的。

我們說一個故事。

怎么說呢，認證其實就是一把鑰匙，打開一扇門的鑰匙，就好比幾個人一起租房子一樣，該房門的鑰匙是指紋的，房東只給四個人授權了指紋開門的權限，現在有四個人可以進屋了，但是我們有五個人要進屋，但是房東只授權我們其中四個人了，還有一人沒有鑰匙，但是每多配一把鑰匙，需要向房東申請授權，申請通過后才能指紋開鎖，這個人才能進屋，我們變要求房東在授權一個人，但是這時候房東說了那位哥們看起來不像是好人不給授權，如果以后回來了敲門，確定是你后我來給開門，后來這哥們氣不過通過私下操作也能開門了，有一天被發現了，該哥們便失去了租住的權利了。

 

這里的鑰匙就是秘鑰，有秘鑰了才能有進行訪問程序的權限，但是秘鑰只有授權后才能使用，事實上沒有經過授權的秘鑰是不能進行程序訪問的，但是萬事都不是絕對的，安全一直是我們所關注的問題，就好比一把簡單的鑰匙，經過違規操作，就能打開一扇門，危害我們的安危，這把違規的鑰匙告訴我們的是，秘鑰要嚴加看管，輕易不要暴露給別人，安全也要加強不要輕易放松。

IdentityServer4 的規則：

　　1、我們常見的程序之間的交互方式有：
　　2、瀏覽器和web 之間的通信：
　　3、Web 於Api之間的通信：
　　4、用戶於Api 之間的通信：
　　5、瀏覽器程序 於Api 之間的通信：
　　6、服務器程序 於Api 通訊：
　　7、Api 之間的相互通訊：

為了保證安全我們創建一個安全令牌的服務，用來管理通信之間的基礎安全，並不是說有了安全令牌服務就絕對安全了，為了安全我們還需要做到更多，沒有絕對的安全存在。

IdentityServer4 具體能用在什么地方：

因為IdentityServer4是一款包含了，授權（OAuth2）與認證（OpendID）協議的框架。

具體什么是OAuth2和OpendID 我們以上文的故事來分析一下，授權（OAuth2）就是房東給租戶授權的鑰匙一樣，我們拿到授權的鑰匙后，可以隨意的進出房子，但是那個倒霉的哥們沒有沒有授權，每次回家都需要先讓房東證明他是他（認證（OpendID 代表着是本人）后才能進出房子，每次進屋都需要證明自己，這樣進出屋就不是很方便了，權限明顯沒有被授權（OAuth2）的人高。

如果通過我的描述還不是很清楚的，可以搜索一下具體的區別，我想收獲會更大。

推薦一個地址：https://www.jianshu.com/p/5d535eee0a9

有了這兩樣東西后我們可以做以下事情（不包括所有）：

　　1、可以做單點登錄的功能
　　2、可以做身份驗證
　　3、可以做Api訪問權限的控制
　　4、也可以做第三方登錄

IdentityServer4是靈活的，我們可以根據我們的需求去使用他，IdentityServer 有效的保護資源不受破壞。

　　大致使用流程如下圖所示：官方的圖：

搭建第一個IdentityServer 入門程序

1、創建AspNetCore空白Web 程序

2、在程序控制台中添加IdentityServer4 的包 安裝命令獲取地址 ：https://www.nuget.org/packages/IdentityServer4

　　安裝如圖所示：

　　使用命令 Install-Package IdentityServer4 -Version 2.2.0

　　

3、在StartUP中這樣使用：下面就不過多的描述了，大多數都寫在代碼中：

　　在ConfigureServices 中寫入如下：

 public void ConfigureServices(IServiceCollection services)
        {
            //注入服務
            services.AddIdentityServer().
                AddDeveloperSigningCredential()//擴展程序為簽名令牌創建臨時密鑰材料
               .AddInMemoryClients(Config.GetClients())//基於配置對象的內存中集合的注冊IClientStore和ICorsPolicyService實現Client
               .AddInMemoryApiResources(Config.GetApiResources());//IResourceStore根據ApiResource配置對象的內存中集合注冊實現
        }

　　在 Configure 注入：

  public void Configure(IApplicationBuilder app, IHostingEnvironment env)
        {
            if (env.IsDevelopment())
            {
                app.UseDeveloperExceptionPage();
            }
            //注入HTTP管道中
            app.UseIdentityServer();

            app.Run(async (context) =>
            {
                await context.Response.WriteAsync("Hello World!");
            });
        }

　　新建配置類Config：

using IdentityServer4.Models;
using System;
using System.Collections.Generic;
using System.Linq;
using System.Threading.Tasks;

namespace InentityServer4_1
{
    public class Config
    {
        /// <summary>
        /// 返回收保護的Api集合
        /// </summary>
        /// <returns></returns>

        public static IEnumerable<ApiResource> GetApiResources()
        {
            List<ApiResource> resources = new List<ApiResource>();
            //ApiResource第一個參數是應用的名字，第二個參數是描述
            resources.Add(new ApiResource("API", "接口API"));
            return resources;
        }
        /// <summary>
        /// 定義客戶信息列表
        /// </summary>
        /// <returns></returns>
        public static IEnumerable<Client> GetClients()
        {
            List<Client> clients = new List<Client>();
            clients.Add(new Client
            {
                ClientId = "clientID",//API賬號、客戶端Id
                //客戶端驗證憑證授權類型
                AllowedGrantTypes = GrantTypes.ClientCredentials,
                //ClientSecrets 認證秘鑰
                ClientSecrets =
                {
                    //SHA 安全散列算法 是一個密碼散列函數家族，是FIPS所認證的安全散列算法。能計算出一個數字消息所對應到的，長度固定的字符串（又稱消息摘要）的算法。且若輸入的消息不同，它們對應到不同字符串的機率很高。
                    new Secret("123321".Sha256(),"用戶秘鑰")//秘鑰
                },

                //AllowedScopes 定義當秘鑰驗證通過后允許訪問的資源
                //多個使用 逗號隔開 如 AllowedScopes = { "API","API1","API1" }
                AllowedScopes = { "API" }
            });
            return clients;
        }
    }
}

4、運行項目后根據啟動的端口后面加上：.well-known/openid-configuration 可以得到配置信息的內容：

　　我的是默認的5000端口 如訪問：http://localhost:5000/.well-known/openid-configuration

這樣身份認證服務就Ok了。

 

下一篇：我們創建一個受保護的Api,以及客戶端如何使用。

 

本來最近 想寫一系列 基於Ocelot+ InentityServer4 功能文章，以及后續使用的功能文章， 今天才接到通知 我們馬上要上線服務，以及新的項目的所有AspNetCore的微服務接口 都要使用 Apollo 配置中心，最近要轉移一下學習重心了，先把項目搞定了在 繼續下一篇了。

有不足之處 希望大家指出相互學習，

                      本文原創：轉載請注明出處 謝謝！