asp.net core 自定義認證方式 請求頭認證 Intro 最近開始真正的實踐了一些網關的東西,最近寫幾篇文章分享一下我的實踐以及遇到的問題。 本文主要介紹網關後面的服務如何進行認證。 解決思路 網關可以做一部分的認證和授權,服務內部有時候也會需要用戶的信息,這時該怎麼辦呢,我們使用的是 JW ...
asp.net core 自定義認證方式--請求頭認證
Intro
最近開始真正的實踐了一些網關的東西,最近寫幾篇文章分享一下我的實踐以及遇到的問題。
本文主要介紹網關後面的服務如何進行認證。
解決思路
網關可以做一部分的認證和授權,服務內部有時候也會需要用戶的信息,這時該怎麼辦呢,我們使用的是 JWT 認證,有一個 identity server去頒發,驗證 token,一種簡單方式可以把 token 直接往後傳,傳遞給後面的具體某個服務,後面的服務可以去 identity server 拿到公鑰信息去驗證 token 的合法性,依然可以拿到用戶的一些基本信息,但又覺得這樣後面的服務還是要依賴 identityserver 不是太好,因為認證已經在網關做掉了,後面不應該再去做認證的事情了,而且解析 JWT token 也是有一定的性能損耗,於是想把用戶的基本信息在網關認證完成之後放到請求頭中。
我們網關用的Ocelot,開源的原生 .NET 項目方便自己擴展,Ocelot 中有一個 Claims2Headers 可以把 Claims 中的信息轉換為請求頭,詳細使用參見文檔,但是實現有個bug,如果有多個值他只會取第一個,詳見issue,可以自己擴展一個 ocelot 的中間件替換掉原有的中間件。
把用戶信息放到請求頭中,後面的服務從請求頭中就可以拿到用戶的基本信息了,為了後面的服務不做過多的改動,我做了一個自定義的認證,從請求頭中拿用戶的基本信息進行認證,這樣後面的服務還是可以直接使用 User.Identity.IsAuthenticated 和 User.Identity.Name 等,不需要做什麼改動。於是就有了這一根據請求頭認證的項目
實現效果
下載示例項目,在 TestWebApplication 目錄下運行 dotnet run
在瀏覽器中訪問 http://localhost:5000/api/values
使用 postman 或 fiddler (或其它你喜歡的工具)帶上 header 訪問 http://localhost:5000/api/values
使用方式
使用方式可以參考示例項目
使用自定義的 HeaderAuthentication 來替代之前的認證方式,預設配置了用戶名,用戶id以及用戶角色,如果不能滿足可以在 options 中的 AdditionalHeaderToClaims 中添加更多轉換
services.AddAuthentication(HeaderAuthenticationDefaults.AuthenticationSchema)
.AddHeader(HeaderAuthenticationDefaults.AuthenticationSchema, options => { options.AdditionalHeaderToClaims.Add("UserEmail", ClaimTypes.Email); })
;這樣就可以了,你可以下載示例項目,快速體驗,你可以直接添加下麵幾個請求頭
UserId 用戶id
UserName 用戶名稱
UserRoles 用戶角色(多個角色以 , 分割,可以在 options 里自定義多個值的分隔符
直接訪問需要授權才能訪問的資源了
現在只是初步的設想與實現,並已經驗證確實可行,代碼還有一些業務邏輯比如 UserId 現在是必須的,可以根據自己需要自行修改,最近有點忙,找時間再修改重構一下再發佈 nuget 包。如果有什麼需求或問題,歡迎一起探討。
源碼
自定義認證源碼
提供了 HeaderAuthetication 和 QueryAuthentication 兩種實現,一種使用請求頭信息認證,一種使用 QueryString 信息認證。
HeaderAuthetication 主要實現在 HeaderAuthenticationHandler
核心代碼,重寫 Authenticate 方法:
protected override Task<AuthenticateResult> HandleAuthenticateAsync()
{
if (!Request.Headers.ContainsKey(Options.UserIdHeaderName) || !Request.Headers.ContainsKey(Options.UserNameHeaderName))
{
return Task.FromResult(AuthenticateResult.NoResult());
}
var userId = Request.Headers[Options.UserIdHeaderName].ToString();
var userName = Request.Headers[Options.UserNameHeaderName].ToString();
var userRoles = new string[0];
if (Request.Headers.ContainsKey(Options.UserRolesHeaderName))
{
userRoles = Request.Headers[Options.UserRolesHeaderName].ToString()
.Split(new[] { Options.Delimiter }, StringSplitOptions.RemoveEmptyEntries);
}
var claims = new List<Claim>()
{
new Claim(ClaimTypes.NameIdentifier, userId),
new Claim(ClaimTypes.Name, userName),
};
if (userRoles.Length > 0)
{
claims.AddRange(userRoles.Select(r => new Claim(ClaimTypes.Role, r)));
}
if (Options.AdditionalHeaderToClaims.Count > 0)
{
foreach (var headerToClaim in Options.AdditionalHeaderToClaims)
{
if (Request.Headers.ContainsKey(headerToClaim.Key))
{
foreach (var val in Request.Headers[headerToClaim.Key].ToString().Split(new[] { Options.Delimiter }, StringSplitOptions.RemoveEmptyEntries))
{
claims.Add(new Claim(headerToClaim.Value, val));
}
}
}
}
// claims identity 's authentication type can not be null https://stackoverflow.com/questions/45261732/user-identity-isauthenticated-always-false-in-net-core-custom-authentication
var principal = new ClaimsPrincipal(new ClaimsIdentity(claims, Scheme.Name));
var ticket = new AuthenticationTicket(
principal,
Scheme.Name
);
return Task.FromResult(AuthenticateResult.Success(ticket));
}註意
請註意,如果使用這種方式,請確保你的服務不會被外界直接訪問,請求只能從網關或者本地調試發起。需要保證安全性,不能直接暴露到公網,才能使用這種方式。
Memo
如果有什麼問題或者意見,歡迎與我聯繫。
