AspNetCore中使用Ocelot之 InentityServer4(1)
前言:
OceLot閘道器是基於AspNetCore 產生的可擴充套件的高效能的企業級Api閘道器,目前已經基於2.0 升級版本升級,在使用AspNetCore 開發的時候可以使用2.0版本了,
開源專案Ocelot 張大隊長是主力的參與人員,以前提起張大隊前面都會加個騰訊,張大隊於2018年8月8日 正式離開了騰訊,迴歸了真我,這裡祝張大隊:事事順心。
OceLot是開源的,開源協議是MIT,所以我們可以大膽放心的使用。
目前OceLot 已經成為了一個使用AspNetCore 幾乎 必會的一項技術了,所以關注,並且要學習,或者已經在使用的.net 開發人員可以關注並學習瞭解一下OceLot,
Ocelot的功能:
1、基於IdentityServer4的認證
2、Consul的註冊發現
3、單機的限流控制
4、基於Polly的使用
5、支援Http以及其他的rpc通訊
6、閘道器叢集
等功能,
可以看出非常的強大。接下來我們將Ocelot的功能基於AspNetCore 進行實現。首先學習一下IdentityServer4
1、基於IdentityServer4的認證
在使用之前我們先明白IdentityServer4 是什麼以及使用原理。
IdentityServer 認證的作用是,不是誰想登入我的Web就能登入的,也不是誰想使用我的介面就能使用的,不經過我的同意就想使用我的服務那是不存在的,除非你是故意的。
我們說一個故事。
怎麼說呢,認證其實就是一把鑰匙,開啟一扇門的鑰匙,就好比幾個人一起租房子一樣,該房門的鑰匙是指紋的,房東只給四個人授權了指紋開門的許可權,現在有四個人可以進屋了,但是我們有五個人要進屋,但是房東只授權我們其中四個人了,還有一人沒有鑰匙,但是每多配一把鑰匙,需要向房東申請授權,申請通過後才能指紋開鎖,這個人才能進屋,我們變要求房東在授權一個人,但是這時候房東說了那位哥們看起來不像是好人不給授權,如果以後回來了敲門,確定是你後我來給開門,後來這哥們氣不過通過私下操作也能開門了,有一天被發現了,該哥們便失去了租住的權利了。
這裡的鑰匙就是祕鑰,有祕鑰了才能有進行訪問程式的許可權,但是祕鑰只有授權後才能使用,事實上沒有經過授權的祕鑰是不能進行程式訪問的,但是萬事都不是絕對的,安全一直是我們所關注的問題,就好比一把簡單的鑰匙,經過違規操作,就能開啟一扇門,危害我們的安危,這把違規的鑰匙告訴我們的是,祕鑰要嚴加看管,輕易不要暴露給別人,安全也要加強不要輕易放鬆。
IdentityServer4 的規則:
1、我們常見的程式之間的互動方式有:
2、瀏覽器和web 之間的通訊:
3、Web 於Api之間的通訊:
4、使用者於Api 之間的通訊:
5、瀏覽器程式 於Api 之間的通訊:
6、伺服器程式 於Api 通訊:
7、Api 之間的相互通訊:
為了保證安全我們建立一個安全令牌的服務,用來管理通訊之間的基礎安全,並不是說有了安全令牌服務就絕對安全了,為了安全我們還需要做到更多,沒有絕對的安全存在。
IdentityServer4 具體能用在什麼地方:
因為IdentityServer4是一款包含了,授權(OAuth2)與認證(OpendID)協議的框架。
具體什麼是OAuth2和OpendID 我們以上文的故事來分析一下,授權(OAuth2)就是房東給租戶授權的鑰匙一樣,我們拿到授權的鑰匙後,可以隨意的進出房子,但是那個倒黴的哥們沒有沒有授權,每次回家都需要先讓房東證明他是他(認證(OpendID 代表著是本人)後才能進出房子,每次進屋都需要證明自己,這樣進出屋就不是很方便了,許可權明顯沒有被授權(OAuth2)的人高。
如果通過我的描述還不是很清楚的,可以搜尋一下具體的區別,我想收穫會更大。
有了這兩樣東西后我們可以做以下事情(不包括所有):
1、可以做單點登入的功能
2、可以做身份驗證
3、可以做Api訪問許可權的控制
4、也可以做第三方登入
IdentityServer4是靈活的,我們可以根據我們的需求去使用他,IdentityServer 有效的保護資源不受破壞。
大致使用流程如下圖所示:官方的圖:
搭建第一個IdentityServer 入門程式
1、建立AspNetCore空白Web 程式
安裝如圖所示:
使用命令 Install-Package IdentityServer4 -Version 2.2.0
3、在StartUP中這樣使用:下面就不過多的描述了,大多數都寫在程式碼中:
在ConfigureServices 中寫入如下:
public void ConfigureServices(IServiceCollection services) { //注入服務 services.AddIdentityServer(). AddDeveloperSigningCredential()//擴充套件程式為簽名令牌建立臨時金鑰材料 .AddInMemoryClients(Config.GetClients())//基於配置物件的記憶體中集合的註冊IClientStore和ICorsPolicyService實現Client .AddInMemoryApiResources(Config.GetApiResources());//IResourceStore根據ApiResource配置物件的記憶體中集合註冊實現 }
在 Configure 注入:
public void Configure(IApplicationBuilder app, IHostingEnvironment env) { if (env.IsDevelopment()) { app.UseDeveloperExceptionPage(); } //注入HTTP管道中 app.UseIdentityServer(); app.Run(async (context) => { await context.Response.WriteAsync("Hello World!"); }); }
新建配置類Config:
using IdentityServer4.Models; using System; using System.Collections.Generic; using System.Linq; using System.Threading.Tasks; namespace InentityServer4_1 { public class Config { /// <summary> /// 返回收保護的Api集合 /// </summary> /// <returns></returns> public static IEnumerable<ApiResource> GetApiResources() { List<ApiResource> resources = new List<ApiResource>(); //ApiResource第一個引數是應用的名字,第二個引數是描述 resources.Add(new ApiResource("API", "介面API")); return resources; } /// <summary> /// 定義客戶資訊列表 /// </summary> /// <returns></returns> public static IEnumerable<Client> GetClients() { List<Client> clients = new List<Client>(); clients.Add(new Client { ClientId = "clientID",//API賬號、客戶端Id //客戶端驗證憑證授權型別 AllowedGrantTypes = GrantTypes.ClientCredentials, //ClientSecrets 認證祕鑰 ClientSecrets = { //SHA 安全雜湊演算法 是一個密碼雜湊函式家族,是FIPS所認證的安全雜湊演算法。能計算出一個數字訊息所對應到的,長度固定的字串(又稱訊息摘要)的演算法。且若輸入的訊息不同,它們對應到不同字串的機率很高。 new Secret("123321".Sha256(),"使用者祕鑰")//祕鑰 }, //AllowedScopes 定義當祕鑰驗證通過後允許訪問的資源 //多個使用 逗號隔開 如 AllowedScopes = { "API","API1","API1" } AllowedScopes = { "API" } }); return clients; } } }
4、執行專案後根據啟動的埠後面加上:.well-known/openid-configuration 可以得到配置資訊的內容:
這樣身份認證服務就Ok了。
下一篇:我們建立一個受保護的Api,以及客戶端如何使用。
本來最近 想寫一系列 基於Ocelot+ InentityServer4 功能文章,以及後續使用的功能文章, 今天才接到通知 我們馬上要上線服務,以及新的專案的所有AspNetCore的微服務介面 都要使用 Apollo 配置中心,最近要轉移一下學習重心了,先把專案搞定了在 繼續下一篇了。