IdentityServer4 配置負載均衡_ZenDei技術網路在線

IdentityServer4 配置負載均衡

-Advertisement-

如果使用 IdentityServer4 做授權服務的負載均衡，預設情況下是不可以的，比如有兩個授權服務站點，一個資源服務綁定其中一個授權服務（配置），如果通過另外一個授權服務獲取，然後拿這個去訪問資源服務，會報 401 未授權錯誤，為什麼？原因在這： By default an access ...

如果使用 IdentityServer4 做授權服務的負載均衡，預設情況下是不可以的，比如有兩個授權服務站點，一個資源服務綁定其中一個授權服務（Authority配置），如果通過另外一個授權服務獲取access_token，然後拿這個access_token去訪問資源服務，會報 401 未授權錯誤，為什麼？原因在這：

By default an access token will contain claims about the scope, lifetime (nbf and exp), the client ID (client_id) and the issuer name (iss).

歸納一下，生成access_token受影響的因素：

scope（授權範圍）：服務包含在 scope 內，生成的access_token，才能訪問本服務。
lifetime（生命周期）：過期的access_token，無效訪問。
client ID (client_id)：不同的客戶端 ID，生成不同對應的access_token。
issuer name (iss)：翻譯過來“發行者名稱”，類似於主機名。
RSA 加密證書（補充）：不同的加密證書，生成不同對應的access_token。

要讓負載均衡下的兩個授權服務，可以正常使用的話，需要確保兩台授權服務以上五種因素完全一致，除了 issuer name (iss)，其他因素都是一樣的。

IdentityServer4 怎麼設置 issuer name (iss)呢？答案是通過IssuerUri：

IssuerUri：Set the issuer name that will appear in the discovery document and the issued JWT tokens. It is recommended to not set this property, which infers the issuer name from the host name that is used by the clients, If not set, the issuer name is inferred from the request.

說明中不建議我們進行設置，預設情況下，IdentityServer4 會從客戶端的主機名中獲取，可以認為，預設情況下，issuer name（IssuerUri）就是授權服務的主機名（比如http://10.9.1.1:5000）。

手動設置IssuerUri代碼：

var builder = services.AddIdentityServer(x => x.IssuerUri = "http://111.12.2.21:8000"); //slb 地址

資源服務授權配置修改：

app.UseIdentityServerAuthentication(new IdentityServerAuthenticationOptions
{
    Authority = "http://111.12.2.21:8000", //slb 地址
    ApiName = "trade_refund",
    RequireHttpsMetadata = false
});

獲取access_token示例代碼：

var client = new DiscoveryClient("http://111.12.2.21:8000"); //必須是 slb 地址，如果是單獨的授權服務地址，會報錯誤（Value cannot be null. Parameter name: address）
client.Policy.RequireHttps = false;
var disco = await client.GetAsync();
var tokenClient = new TokenClient(disco.TokenEndpoint, clientId, clientSecret);
var tokenResponse = tokenClient.RequestClientCredentialsAsync(scope);
var accessToken = tokenResponse.AccessToken;

通過 HTTP Post 獲取access_token（不通過 slb，直接請求單獨的授權服務），可以授權訪問資源服務，獲取access_token示例：

參考資料：

您的分享是我們最大的動力!

-Advertisement-

更多相關文章

MySQL數據表的創建、查看、插入

數據表：數據表（或稱表）是資料庫最重要的組成部分之一，是其他對象的基礎。 1、首先我們打開一個資料庫（這裡我打開的是新創建的一個aaa資料庫）。打開資料庫：use + 資料庫名; 2、開始創建一個表，表名定為tb1。行稱之為記錄，列稱之為欄位。創建一個為名字、年齡、工資的表 VARCHAR 為 ...
封裝mysql的JDBC

沒錯，這又是我從我的OneNote上複製過來的，於是又變成了一張好長好長的圖片。我能怎麼辦，我也很絕望，感興趣就湊合看吧。現在開發項目基本上持久層都是用框架（hibernate或者mybatis），所以呢，這個東西基本上用不到，既然有大神封裝的非常好，我們為什麼要自己寫呢。但是，這個可以幫助我 ...
sql server:查詢系統表

---查看所有存儲過程或視圖的位置 select a.name,a.[type],b.[definition] from sys.all_objects a,sys.sql_modules b where a.is_ms_shipped=0 and a.object_id = b.object_id... ...
探索Windows命令行系列(3)：命令行腳本基礎

" 1、實用功能 " "1.1、為腳本添加註釋" "1.2、控制命令的回顯" "1.3、使用數學表達式" "1.4、向腳本傳遞參數" " 2、使用變數 " "2.1、變數的命名及定義" "2.2、調用變數" "2.3、變數的作用域" " 3、結構語句 " "3.1、選擇語句" "3.2、迭代語句" ...
Linux查找指定大小的文件

find /usr -size 4 查找2k（4個block）文件 find /usr -size +2048c 查找大於2k位元組文件 find /usr -size -2K 查找小於2k位元組文件 ...
分析uboot中 make xxx_config過程

make xxx_config實質上就是調用了首先看MKCONFIG：【註意】SRCTREE=源文件下的目錄之後的語句： @$(MKCONFIG) $(@:_config=) arm arm920t EmbedSky NULL s3c2440就相當於執行 #mkconfig xxx arm a ...
十分鐘搞定mac下的phpstorm增加xdebug調試

一、版本信息 mac 10.10.5 php 5.5.38 phpstorm 10.0.3 xdebug 版本需要與php匹配，匹配地址：點我匹配點我查看所有版本提示：不確定xdebug版本的，把phpinfo()顯示的全部複製（command+a 全選再command+c複製）到文本框中，x ...
技術短時間來看被高估，長久來看被低估 --- 今天參加微軟開發者峰會之我見

首先，非常感謝微軟舉辦的這次活動，彙集不了少技術大拿，為大家呈現一堂高潮迭起的技術分享盛會。也非常感謝公司領導，頂著繁重業務的壓力，讓大家去充電，去學習新知識。言歸正傳，談一下今天微軟分享的內容，以及個人的心得感受。首先，微軟分享給大家的是Microsoft Service Fabric，即微軟 ...