Ocelot作為基於.net core的API方關,有一個功能是統一驗證,它的作用是把沒有訪問許可權的請求擋在API網關外面,而不是到達API網關事端的API時才去驗證;之前我有一篇博文https://www.cnblogs.com/axzxs2001/p/8005084.html,作過說明,這篇博文... ...
Ocelot作為基於.net core的API方關,有一個功能是統一驗證,它的作用是把沒有訪問許可權的請求擋在API網關外面,而不是到達API網關事端的API時才去驗證;之前我有一篇博文https://www.cnblogs.com/axzxs2001/p/8005084.html,作過說明,這篇博文說明瞭實現代碼,今天我把這個實現作了整理,封裝成一個Nuget包,供大家方便調用。
Web API的驗證一般是用UserName和Password請求到Token,然後每次請求需要許可權的API介面是把Token帶到請求的Header中,作為憑據,API服端接收到請求後就要對客戶端帶的Token作驗證,查看Token是否正確,是否過期,如果沒有問題,再對該用戶作權鑒,該用戶是否有許可權訪問本API介面;這樣看來,登錄獲取Tokent算一塊,成功登錄後,每次帶Token請求又分兩塊:一塊是驗證,一塊是鑒權,所以在Ocelot.JwtAuthorize中一共分三塊。
項目的源碼位於https://github.com/axzxs2001/Ocelot.JWTAuthorize
Nuget是https://www.nuget.org/packages/Ocelot.JwtAuthorize
使用也非常簡單,首先有統一的配置文件(網關項目中,API項目中,驗證項目中)
1 "JwtAuthorize": { 2 "Secret": "ABCDEFGHIJKLMNOPQRSTUVWXYZ1234567890", 3 "Issuer": "gsw", 4 "Audience": "everyone", 5 "PolicyName": "permission", 6 "DefaultScheme": "Bearer", 7 "IsHttps": false, 8 "Expiration": 50000 9 }View Code
1、網關項目中在Startup的ConfigureService方法中註入services.AddOcelotJwtAuthorize()即可。
2、驗證項目中在Startup的ConfigureService方法中註入services.AddTokenJwtAuthorize(),同時驗證項目還有一個作用是分發Token,前提是用戶有正確的用戶名密碼,所以要做一個登錄的Colloer和Action來實現,註意登錄時Claim中的信息是在API項目中驗證許可權的信息。
1 readonly ILogger<LoginController> _logger; 2 //ITokenBuilder是用來生成Token的 3 readonly ITokenBuilder _tokenBuilder; 4 public LoginController(ITokenBuilder tokenBuilder, ILogger<LoginController> logger) 5 { 6 _logger = logger; 7 _tokenBuilder = tokenBuilder; 8 9 } 10 [HttpPost] 11 public IActionResult Login([FromBody]LoginModel loginModel) 12 { 13 _logger.LogInformation($"{loginModel.UserName} login!"); 14 if (loginModel.UserName == "gsw" && loginModel.Password == "111111") 15 { 16 var claims = new Claim[] { 17 new Claim(ClaimTypes.Name, "gsw"), 18 new Claim(ClaimTypes.Role, "admin"), 19 20 }; 21 var token = _tokenBuilder.BuildJwtToken(claims); 22 _logger.LogInformation($"{loginModel.UserName} login success,and generate token return"); 23 return new JsonResult(new { Result = true, Data = token }); 24 } 25 else 26 { 27 _logger.LogInformation($"{loginModel.UserName} login faile"); 28 return new JsonResult(new 29 { 30 Result = false, 31 Message = "Authentication Failure" 32 }); 33 } 34 }View Code
3、API項目中在Startup的ConfigureService方法中註入,並且在Controller或Action上加配置文件中的ProlicyName的配置名稱,本例是permission
1 services.AddApiJwtAuthorize((context) => 2 { 3 //這裡根據context中的Request和User來自定義許可權驗證,返回true為放行,返回fase時為攔截,其中User.Claims中有登錄時自己定義的Claim 4 return true; 5 })View Code
1 [Authorize("permission")] 2 [Route("api/[controller]")] 3 [ApiController] 4 public class ValuesController : Controller 5 { 6 //…… 7 }View Code
具體體安例參照https://github.com/axzxs2001/Ocelot.JWTAuthorize下的Sample。
