前言
最近再學習微服務,所以把自己的個人站點https://www.ttblog.site/拆分成微服務,目前正在思考微服務里面的認證與授權,網上百度到都是根據用戶名和密碼來實作的,考慮到實際的原因,我的個人站點是最先訪問不需要登錄,當執行寫入或更改操作時才需要用戶名和密碼,所以我自己思考了一個方案,這里分享一下,設計難免有很多不合理之處,大家可以予以批評,
檔案
我開始做的時候,對認證授權不是很理解,所以我在網上百度并且在博客園和開源中國提了一下問,https://www.oschina.net/question/2859520_2319077和https://q.cnblogs.com/q/129422/,并且看了很多文章,大多數使用的是IdentityServer4,但是我發現這個比較復雜,貌似還要安裝一些認證,所以選擇了使用JWT,并且了解了一下OAuth2,我覺得我用的應該屬于里面的客戶端模式https://www.jianshu.com/p/84a4b4a1e833,大概都了解之后,我就開始在專案里集成了jwt和ocelot,
實戰
首先創建了一個認證服務器
BlogAuthApi
然后一個網關
BlogGateway
最后一個
BlogWebApi
我的思路就是js判斷是否存有token,如果沒有在請求認證服務器Auth,,回傳一個token,存入瀏覽器,然后之后通過token去訪問webapi,
1,請求token
我這里使用的微服務網關屬于Ocelot,請求時通過網關轉發到認證服務器獲取token,如下代碼生成token:
public class Jwt
{
/// <summary>
/// 回傳jwt模型
/// </summary>
/// <returns></returns>
public static JwtOption GetOption()
{
JwtOption option = ConfigureProvider.BuildModel<JwtOption>("jwtOption");
return option;
}
/// <summary>
/// 回傳SymmetricSecurityKey
/// </summary>
/// <returns></returns>
public static SymmetricSecurityKey GetSymmetricSecurityKey()
{
JwtOption option = GetOption();
return GetSymmetricSecurityKey(option.Secret);
}
/// <summary>
/// 回傳SymmetricSecurityKey
/// </summary>
/// <returns></returns>
public static SymmetricSecurityKey GetSymmetricSecurityKey(string secret)
{
return new SymmetricSecurityKey(Encoding.UTF8.GetBytes(secret));
}
/// <summary>
/// 回傳token引數模型
/// </summary>
/// <returns></returns>
public static TokenValidationParameters GetTokenValidation()
{
JwtOption option = GetOption();
var tokenValidationParameters = new TokenValidationParameters
{
ValidateIssuerSigningKey = true,
IssuerSigningKey = GetSymmetricSecurityKey(option.Secret),
ValidateIssuer = true,
ValidIssuer = option.Issuer,
ValidateAudience = true,
ValidAudience = option.Audience,
ValidateLifetime = true,
ClockSkew = TimeSpan.Zero,
RequireExpirationTime = true,
};
return tokenValidationParameters;
}
/// <summary>
/// 獲取jwt的token引數
/// </summary>
/// <param name="claims"></param>
/// <returns></returns>
public static JwtSecurityToken GetJwtParameters(Claim[] claims,JwtOption option=null)
{
if (option == null)
option = GetOption();
var jwt = new JwtSecurityToken(
issuer: option.Issuer,
audience: option.Audience,
claims: claims,
notBefore: DateTime.Now,
expires: DateTime.Now.Add(TimeSpan.FromMinutes(option.ExpireMinutes)),
signingCredentials: new SigningCredentials(GetSymmetricSecurityKey(option.Secret), SecurityAlgorithms.HmacSha256)
);
return jwt;
}
/// <summary>
/// 獲取jwt
/// </summary>
/// <param name="claims"></param>
/// <returns></returns>
public static JwtToken GetToken(JwtSecurityToken tokenParameters)
{
JwtOption option = GetOption();
string token=new JwtSecurityTokenHandler().WriteToken(tokenParameters);
return new JwtToken(token, option.ExpireMinutes);
}
/// <summary>
/// 獲取jwt
/// </summary>
/// <param name="claims"></param>
/// <returns></returns>
public static JwtToken GetToken(Claim[] claims)
{
JwtOption option = GetOption();
JwtSecurityToken jwtSecurityToken = GetJwtParameters(claims,option);
string token = new JwtSecurityTokenHandler().WriteToken(jwtSecurityToken);
return new JwtToken(token, option.ExpireMinutes*60);
}
}
public class JwtToken
{
public string Token { get; set; }
public int ExpireSeconds { get; set; }
public JwtToken(string token,int expireSeconds)
{
Token = token;
ExpireSeconds = expireSeconds;
}
}
public class JwtOption
{
public string Issuer { get; set; }
public string Audience { get; set; }
public int ExpireMinutes { get; set; }
public string Secret { get; set; }
}
并且添加組態檔
"jwtOption": {
"issuer": "",
"audience": "",
"expireMinutes": "",
"secret": ""
}然后前端獲取到token之后會吧token放入到header里面請求,
2,配置網關服務Ocelot
使用ocelot認證時,需要配置Ocelot.json,對相應的路由添加節點
{
"DownstreamPathTemplate": "/api/{url}",
"DownstreamScheme": "http",
"DownstreamHostAndPorts": [
{
"Host": "localhost",
"Port": 5001
}
],
"UpstreamPathTemplate": "/{url}",
"UpstreamHttpMethod": [ "Get", "Post", "Delete" ],
"AuthenticationOptions": {
"AuthenticationProviderKey": "ApiAuthKey",//認證服務的key
"AllowedScopes": []
},
//限流
"RateLimitOptions": {
"ClientWhitelist": [],
"EnableRateLimiting": true,
"Period": "1s",
"PeriodTimespan": 1,
"Limit": 1
}
}
讓后需要在Startup里面添加Jwt如下:
services.AddAuthentication()
.AddJwtBearer("ApiAuthKey", x =>
{
x.RequireHttpsMetadata = https://www.cnblogs.com/MrHanBlog/p/false;
x.TokenValidationParameters = tokenValidationParameters;
});
之后啟動3個服務來測驗下,
當我們不傳token時,請求時直接回傳401的:
然后我們請求認證服務器獲取token
然后我們把token放入header里面請求:
可以看到請求成功了,并且我們可以看到token的過期時間為120秒,然后過了兩分鐘我們在請求就不行了
到此,我的api認證功能已經大致完成了,因為自己并沒有這方面的經驗,例如怎么token過期了前端怎么取重繪的問題,怎么擴展ocelot過期回傳的response等等,自己都是要一點一點去學習了解的,這里只是貼出我的程序,和大家分享討論下,希望可以給出好的意見,
轉載請註明出處,本文鏈接:https://www.uj5u.com/net/142006.html
標籤:.NET Core