ocelot 自定義認證和授權

-Advertisement-

ocelot 自定義認證和授權 Intro 最近又重新啟動了網關項目，服務越來越多，每個服務都有一個地址，這無論是對於前端還是後端開發調試都是比較麻煩的，前端需要定義很多 baseUrl，而後端需要沒有代碼調試的時候需要對每個服務的地址都收藏著或者記在哪裡，用的時候要先找到地址，甚是麻煩，有了網關之 ...

ocelot 自定義認證和授權

Intro

最近又重新啟動了網關項目，服務越來越多，每個服務都有一個地址，這無論是對於前端還是後端開發調試都是比較麻煩的，前端需要定義很多 baseUrl，而後端需要沒有代碼調試的時候需要對每個服務的地址都收藏著或者記在哪裡，用的時候要先找到地址，甚是麻煩，有了網關之後，所有的 API 就有了統一的入口，對於前端來說就不需要維護那麼多的 baseUrl，只需要網關的地址即可，對於後端來說也是同樣的。

Ocelot 簡介

Ocelot是一個用.NET Core實現並且開源的API網關，它功能強大，包括了：路由、請求聚合、服務發現、認證、鑒權、限流熔斷等功能，這些功能只都只需要簡單的配置即可完成。

Ocelot 架構

自定義認證授權

自定義認證授權思想，這裡的示例是一個基於用戶角色授權的示例：

基於 url 以及請求 Method 查詢需要的許可權
如果不需要用戶登錄就可以訪問，就直接往下游服務轉發
如果需要許可權，判斷當前登錄用戶的角色是否可以以當前 Method 訪問當前路徑
如果可以訪問就轉發到下游服務，如果沒有許可權訪問根據用戶是否登錄，已登錄返回 403 Forbidden，未登錄返回 401 Unauthorized

Ocelot 的認證授權不能滿足我的需要，於是就自己擴展了一個 Ocelot 的中間件

示例代碼

    public class ApiPermission
    {
        public string AllowedRoles { get; set; }

        public string PathPattern { get; set; }

        public string Method { get; set; }
    }

    public class UrlBasedAuthenticationMiddleware : Ocelot.Middleware.OcelotMiddleware
    {
        private readonly IConfiguration _configuration;
        private readonly IMemoryCache _memoryCache;
        private readonly OcelotRequestDelegate _next;

        public UrlBasedAuthenticationMiddleware(OcelotRequestDelegate next, IConfiguration configuration, IMemoryCache memoryCache, IOcelotLoggerFactory loggerFactory) : base(loggerFactory.CreateLogger<UrlBasedAuthenticationMiddleware>())
        {
            _next = next;

            _configuration = configuration;
            _memoryCache = memoryCache;
        }

        public async Task Invoke(DownstreamContext context)
        {
            var permissions = await _memoryCache.GetOrCreateAsync("ApiPermissions", async entry =>
           {
               using (var conn = new SqlConnection(_configuration.GetConnectionString("ApiPermissions")))
               {
                   entry.AbsoluteExpirationRelativeToNow = TimeSpan.FromHours(1);
                   return (await conn.QueryAsync<ApiPermission>("SELECT * FROM dbo.ApiPermissions")).ToArray();
               }
           });

            var result = await context.HttpContext.AuthenticateAsync(context.DownstreamReRoute.AuthenticationOptions.AuthenticationProviderKey);
            context.HttpContext.User = result.Principal;

            var user = context.HttpContext.User;
            var request = context.HttpContext.Request;

            var permission = permissions.FirstOrDefault(p =>
                request.Path.Value.Equals(p.PathPattern, StringComparison.OrdinalIgnoreCase) && p.Method.ToUpper() == request.Method.ToUpper());

            if (permission == null)// 完全匹配不到，再根據正則匹配
            {
                permission =
                    permissions.FirstOrDefault(p =>
                        Regex.IsMatch(request.Path.Value, p.PathPattern, RegexOptions.IgnoreCase) && p.Method.ToUpper() == request.Method.ToUpper());
            }

            if (!user.Identity.IsAuthenticated)
            {
                if (permission != null && string.IsNullOrWhiteSpace(permission.AllowedRoles)) //預設需要登錄才能訪問
                {
                    //context.HttpContext.User = new ClaimsPrincipal(new ClaimsIdentity(new[] { new Claim(ClaimTypes.Name, "Anonymous") }, context.DownstreamReRoute.AuthenticationOptions.AuthenticationProviderKey));
                }
                else
                {
                    SetPipelineError(context, new UnauthenticatedError("unauthorized, need login"));
                    return;
                }
            }
            else
            {
                if (!string.IsNullOrWhiteSpace(permission?.AllowedRoles) &&
                    !permission.AllowedRoles.Split(new[] { ',' }, StringSplitOptions.RemoveEmptyEntries).Any(r => user.IsInRole(r)))
                {
                    SetPipelineError(context, new UnauthorisedError("forbidden, have no permission"));
                    return;
                }
            }

            await _next.Invoke(context);
        }
    }

認證授權之後

經過上面的認證授權之後，就可以往下游轉發請求了，下游的服務有的可能會需要判斷用戶的角色或者需要根據用戶的 userId 或者 Name 或者郵箱去檢查某些數據的許可權，這裡就需要把在網關完成認證之後，得到的用戶信息傳遞給下游服務，這裡我選擇的是通過請求頭把用戶信息從網關服務傳遞到下游服務， Ocelot 可以把 Claims 中的信息轉換到 Header ，詳細參考Ocelot文檔，但是實現有個bug，如果有多個值他只會取第一個，詳見issue，可以自己擴展一個 ocelot 的中間件替換掉原有的中間件。

傳遞到下游服務之後，下游服務在需要用戶信息的地方就可以從請求頭中獲取用戶信息，如果下游服務比較複雜，不方便改動的話可以實現一個自定義的請求頭認證，可以參考我的這一篇文章

Memo

如果有什麼問題或建議，歡迎提出一起交流

您的分享是我們最大的動力!

-Advertisement-

更多相關文章

asp.net core 將配置文件配置遷移到資料庫（一）

asp.net core 將配置文件配置遷移到資料庫（一） Intro asp.net core 配置預設是項目根目錄下的 appsettings.json 文件，還有環境變數以及 command line arguments，有一些鏈接字元串等信息可能放在資料庫里更好一些，也方便修改與維護，有的配 ...
代碼性能優化之創建對象

類初始化在代碼中隨處可見，但是用靜態class和用實例class時應該遵循那些原則呢？ 1、如果一個類定義成實例的，那麼這個類的全部成員儘量都定義成實例的 2、如果一個類是要共用一些成員，那麼所有成員都定義成靜態的，類本身也定義成靜態的有些時候我們可能會實例成員和靜態成員混合定義，但是不建議這樣做 ...
巧用XML配置校驗導入Excel的列數據格式

<?xml version="1.0"?> <ColumnsSeting xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"> <Columns> <Co ...
C#比較兩個對象是否為同一個對象。

兩個對象是否為同一個對象：是看兩個對象是否指向堆中的同一塊記憶體。 1、使用object.ReferenceEquals() 2.使用object.equals() 3、使用== 得到同樣的結果。目前來看，這三個方法都能判斷兩個對象是否為同一個對象。但是：這兩個s1,s2是兩個不同的對象，因為ne ...
【手記】解決“未能創建 SSL/TLS 安全通道”異常

之前寫了一個桌面程式，程式會間歇性訪問某個https介面，一直用的好好的，今天突然報錯了，異常就發生在訪問介面的地方，曰“請求被中止，未能創建 SSL/TLS 安全通道。”，另外有臺電腦也有跑該程式，也是同樣的報錯，看來是介面方改動過什麼了。搜索一番，原因應該是，介面方變更了安全協議，而客戶端並未 ...
C#深入淺出獲取時間DateTime

首先，先瞭解微軟.net裡面的DateTime的DateTime.Now、DateTime.Now.Date、DateTime.Now.Day、DateTime.Now.DayOfWeek、DateTime.Now.DayOfYear、DateTime.Now.Month //DateTime.No ...
C#函數返回值。

一、params. 可變參數，無論有幾個參數，必須出現在參數列表的最後，可以為可變參數直接傳遞一個對應類型的數組。二、ref 引用傳遞三、out out 參數在使用之前必須在方法里為out參數賦值。 out參數無法獲取實參傳來的值。所以在主函數中，只需聲明函數就行。它也是引用。 out一般用在 ...
[古怪問題] Marshal.GetActiveObject 在管理員模式下無法正常運行

問題： var obj = Marshal.GetActiveObject("PowerPoint.Application") 該代碼在管理員模式下運行無法正常獲取正在運行的 PPT PowerPoint.Application 對象，而在非管理員模式下可以正常獲取。針對該問題，微軟的msdn官方 ...