.NET Core 微服務—API網關(Ocelot) 教程 [三]

前言：

　前一篇文章《.NET Core 微服務—API網關(Ocelot) 教程 [二]》已經讓Ocelot和目錄api（Api.Catalog）、訂單api（Api.Ordering）通過網關方式運行起來了。但在日常開發中Api並不是所有人都能訪問的，是添加了認證、授權的。那么本篇文章就將繼續介紹Ocelot如何和 IdentityServer4 認證服務如何配合使用的。

創建認證服務(Api.IdentityServer)

　1、創建一個空的WebApi項目-Api.IdentityServer，並添加IdentityServer4項目引用：如下圖：

Install-Package IdentityServer4

　　

 2、要啟用IdentityServer服務，不僅要把 IdentityServer 注冊到容器中, 還需要配置一下內容：

•  Authorization Server 保護了哪些 API （資源）；

• 哪些客戶端 Client（應用） 可以使用這個 Authorization Server；

• 指定可以使用 Authorization Server 授權的 Users（用戶）

 　a)　創建文件 InMemoryConfig.cs，用於設置以上相關內容：

using IdentityServer4;
using IdentityServer4.Models;
using IdentityServer4.Test;
using System;
using System.Collections.Generic;
using System.Linq;
using System.Threading.Tasks;

namespace Api.IdentityServer
{
    public class InMemoryConfig
    {
        public static IEnumerable<IdentityResource> GetIdentityResourceResources()
        {
            return new List<IdentityResource>
            {
                //必須要添加，否則報無效的scope錯誤
                new IdentityResources.OpenId(),
            };
        }

        /// <summary>
        /// api資源列表
        /// </summary>
        /// <returns></returns>
        public static IEnumerable<ApiResource> GetApiResources()
        {
            //可訪問的API資源(資源名，資源描述)
            return new List<ApiResource>
            {
                new ApiResource("Api.Catalog", "Api.Catalog"),
                new ApiResource("Api.Ordering", "Api.Ordering")
            };
        }

        /// <summary>
        /// 客戶端列表
        /// </summary>
        /// <returns></returns>
        public static IEnumerable<Client> GetClients()
        {
            return new List<Client>
            {
                new Client
                {
                    ClientId = "client_Catalog", //訪問客戶端Id,必須唯一
                    //使用客戶端授權模式，客戶端只需要clientid和secrets就可以訪問對應的api資源。
                    AllowedGrantTypes = GrantTypes.ClientCredentials,
                    ClientSecrets =
                    {
                        new Secret("secret".Sha256())
                    },
                    AllowedScopes = { "Api.Catalog", IdentityServerConstants.StandardScopes.OpenId,IdentityServerConstants.StandardScopes.Profile }
                },
                new  Client
                {
                    ClientId = "client_Ordering",
                    ClientSecrets = new [] { new Secret("secret".Sha256()) },
                    //這里使用的是通過用戶名密碼和ClientCredentials來換取token的方式. ClientCredentials允許Client只使用ClientSecrets來獲取token. 這比較適合那種沒有用戶參與的api動作
                    AllowedGrantTypes = GrantTypes.ResourceOwnerPasswordAndClientCredentials,
                    AllowedScopes = { "Api.Ordering", IdentityServerConstants.StandardScopes.OpenId,IdentityServerConstants.StandardScopes.Profile }
                }
            };
        }

        /// <summary>
        /// 指定可以使用 Authorization Server 授權的 Users（用戶）
        /// </summary>
        /// <returns></returns>
        public static IEnumerable<TestUser> Users()
        {
            return new[]
            {
                    new TestUser
                    {
                        SubjectId = "1",
                        Username = "cba",
                        Password = "abc"
                    }
            };
        }
    }
}

  　  GetApiResources：這里指定了name和display name， 以后api使用authorization server的時候， 這個name一定要一致

　　GetClients： 認證客戶端列表

　　Users: 這里的內存用戶的類型是TestUser, 只適合學習和測試使用, 實際生產環境中還是需要使用數據庫來存儲用戶信息的, 例如接下來會使用asp.net core identity. TestUser的SubjectId是唯一標識.

　b)　在Startup.cs中啟用IdentityServer服務

using System;
using System.Collections.Generic;
using System.Linq;
using System.Threading.Tasks;
using Microsoft.AspNetCore.Builder;
using Microsoft.AspNetCore.Hosting;
using Microsoft.AspNetCore.Mvc;
using Microsoft.Extensions.Configuration;
using Microsoft.Extensions.DependencyInjection;
using Microsoft.Extensions.Hosting;
using Microsoft.Extensions.Logging;

namespace Api.IdentityServer
{
    public class Startup
    {
        public Startup(IConfiguration configuration)
        {
            Configuration = configuration;
        }

        public IConfiguration Configuration { get; }

        // This method gets called by the runtime. Use this method to add services to the container.
        public void ConfigureServices(IServiceCollection services)
        {
            services.AddControllers();

            services.AddIdentityServer()
                .AddDeveloperSigningCredential()                    
.AddInMemoryApiResources(InMemoryConfig.GetApiResources())
                .AddInMemoryClients(InMemoryConfig.GetClients())
                .AddTestUsers(InMemoryConfig.Users().ToList());

            services.AddAuthentication();//配置認證服務
        }

        // This method gets called by the runtime. Use this method to configure the HTTP request pipeline.
        public void Configure(IApplicationBuilder app, IWebHostEnvironment env)
        {
            if (env.IsDevelopment())
            {
                app.UseDeveloperExceptionPage();
            }
            app.UseStaticFiles();
            app.UseRouting();

            app.UseIdentityServer();

            app.UseAuthentication();
            app.UseAuthorization();

            app.UseEndpoints(endpoints =>
            {
                endpoints.MapControllers();
            });
        }
    }
}

 　　　 　

為ocelot項目集成IdentityServer

　1、添加IdentityServer4.AccessTokenValidation的包,也可以通過程序包管理控制台執行以下命令 

　　　　Install-Package IdentityServer4.AccessTokenValidation

　　　　添加包引用后，在Startup中的 ConfigureServices 中分別注冊兩個認證方案 Configure 中配置IdentityServer服務。　　　　

        public void ConfigureServices(IServiceCollection services)
        {

            services.AddAuthentication()
              .AddJwtBearer("Api.Catalog", i =>
              {
                  i.Audience = "Api.Catalog";
                  i.Authority = "http://localhost:5332";
                  i.RequireHttpsMetadata = false;
              }).AddJwtBearer("Api.Ordering", y =>
              {
                  y.Audience = "Api.Ordering";
                  y.Authority = "http://localhost:5331";
                  y.RequireHttpsMetadata = false;
              });

            services.AddOcelot();//注入Ocelot服務

            services.AddControllers();
        }

  

　2、修改ocelot配置文件,在Routes中添加授權信息

　　調整ApiGateway.Ocelot項目中ocelot.json配置文件如下：　　

{
  "GlobalConfiguration": {

  },
  "Routes": [
    {
      "DownstreamPathTemplate": "/api/{controller}/{action}",
      "DownstreamScheme": "http",
      "DownstreamHostAndPorts": [
        {
          "Host": "localhost",
          "Port": 5331
        }
      ],
      "UpstreamPathTemplate": "/Catalog/{controller}/{action}",
      "UpstreamHttpMethod": [ "Get", "Post" ],
      "LoadBalancerOptions": {
        "Type": "RoundRobin"
      },
      //授權信息 "AuthenticationOptions": { "AuthenticationProviderKey": "Api.Catalog", "AllowedScopes": [] }
    },
    {
      "DownstreamPathTemplate": "/api/{controller}/{action}",
      "DownstreamScheme": "http",
      "DownstreamHostAndPorts": [
        {
          "Host": "localhost",
          "Port": 5332
        }
      ],
      "UpstreamPathTemplate": "/Ordering/{controller}/{action}",
      "UpstreamHttpMethod": [ "Get", "Post" ],
      "LoadBalancerOptions": {
        "Type": "RoundRobin"
      },
      //授權信息 "AuthenticationOptions": { "AuthenticationProviderKey": "Api.Ordering", "AllowedScopes": [] }
    }
  ]
}

Ocelot會去檢查Routes是否配置了AuthenticationOptions節點。如果有會根據配置的認證方案進行身份認證。如果沒有則不進行身份認證。
AuthenticationProviderKey 是剛才注冊的認證方案。
AllowedScopes 是 AllowedScopes中配置的授權訪問范圍。

驗證效果

　1、根據網關設置訪問：目錄api：http://localhost:5330/Ordering/Values/1 
　　　如圖：401 Unauthorized 未認證

　　

　2、先獲取Token后再訪問該接口：

　　 

 　　根據獲取Token在http://localhost:5330/Ordering/Values/1 請求時，添加認證頭信息，即可請求成功

　　

 

 

 

回顧總結

 　1、在IdentityServer注冊相關資源服務和客戶端信息。

　 2、Ocelot通過注冊認證方案，在配置文件中指定路由的認證方案

　 3、該認證是在Ocelot網關層對相關資源進行認證，並非資源服務認證

　 4、認證調用失敗時，嘗試把IdentityServer包版本降低嘗試　

 

　源碼：https://github.com/cwsheng/ocelot.Demo.git