AspNetCore中使用Ocelot之 InentityServer4(1) 前言:
OceLot网关是基于AspNetCore 产生的可扩展的高性能的企业级Api网关,目前已经基于2.0 升级版本升级,在使用AspNetCore 开发的时候可以使用2.0版本了,
开源项目Ocelot 张大队长是主力的参与人员,以前提起张大队前面都会加个腾讯,张大队于2018年8月8日 正式离开了腾讯,回归了真我,这里祝张大队:事事顺心。
OceLot是开源的,开源协议是MIT,所以我们可以大胆放心的使用。
OceLot 的GitHub地址:https://github.com/ThreeMammals/Ocelot
OceLot 的中文文档:https://blog.csdn.net/sD7O95O/article/details/79623654
目前OceLot 已经成为了一个使用AspNetCore 几乎 必会的一项技术了,所以关注,并且要学习,或者已经在使用的.net 开发人员可以关注并学习了解一下OceLot,
Ocelot的功能:
1、基于IdentityServer4的认证
2、Consul的注册发现
3、单机的限流控制
4、基于Polly的使用
5、支持Http以及其他的rpc通讯
6、网关集群
等功能,
可以看出非常的强大。接下来我们将Ocelot的功能基于AspNetCore 进行实现。首先学习一下IdentityServer4
1、基于IdentityServer4的认证
在使用之前我们先明白IdentityServer4 是什么以及使用原理。
文档地址:
中文文档:网上也有 推荐 :https://www.cnblogs.com/ideck/
IdentityServer 认证的作用是,不是谁想登录我的Web就能登录的,也不是谁想使用我的接口就能使用的,不经过我的同意就想使用我的服务那是不存在的,除非你是故意的。
我们说一个故事。
怎么说呢,认证其实就是一把钥匙,打开一扇门的钥匙,就好比几个人一起租房子一样,该房门的钥匙是指纹的,房东只给四个人授权了指纹开门的权限,现在有四个人可以进屋了,但是我们有五个人要进屋,但是房东只授权我们其中四个人了,还有一人没有钥匙,但是每多配一把钥匙,需要向房东申请授权,申请通过后才能指纹开锁,这个人才能进屋,我们变要求房东在授权一个人,但是这时候房东说了那位哥们看起来不像是好人不给授权,如果以后回来了敲门,确定是你后我来给开门,后来这哥们气不过通过私下操作也能开门了,有一天被发现了,该哥们便失去了租住的权利了。
这里的钥匙就是秘钥,有秘钥了才能有进行访问程序的权限,但是秘钥只有授权后才能使用,事实上没有经过授权的秘钥是不能进行程序访问的,但是万事都不是绝对的,安全一直是我们所关注的问题,就好比一把简单的钥匙,经过违规操作,就能打开一扇门,危害我们的安危,这把违规的钥匙告诉我们的是,秘钥要严加看管,轻易不要暴露给别人,安全也要加强不要轻易放松。
IdentityServer4 的规则:
1、我们常见的程序之间的交互方式有:
2、浏览器和web 之间的通信:
3、Web 于Api之间的通信:
4、用户于Api 之间的通信:
5、浏览器程序 于Api 之间的通信:
6、服务器程序 于Api 通讯:
7、Api 之间的相互通讯:
为了保证安全我们创建一个安全令牌的服务,用来管理通信之间的基础安全,并不是说有了安全令牌服务就绝对安全了,为了安全我们还需要做到更多,没有绝对的安全存在。
IdentityServer4 具体能用在什么地方:
因为IdentityServer4是一款包含了,授权(OAuth2)与认证(OpendID)协议的框架。
具体什么是OAuth2和OpendID 我们以上文的故事来分析一下,授权(OAuth2)就是房东给租户授权的钥匙一样,我们拿到授权的钥匙后,可以随意的进出房子,但是那个倒霉的哥们没有没有授权,每次回家都需要先让房东证明他是他(认证(OpendID 代表着是本人)后才能进出房子,每次进屋都需要证明自己,这样进出屋就不是很方便了,权限明显没有被授权(OAuth2)的人高。
如果通过我的描述还不是很清楚的,可以搜索一下具体的区别,我想收获会更大。
推荐一个地址:https://www.jianshu.com/p/5d535eee0a9
有了这两样东西后我们可以做以下事情(不包括所有):
1、可以做单点登录的功能
2、可以做身份验证
3、可以做Api访问权限的控制
4、也可以做第三方登录
IdentityServer4是灵活的,我们可以根据我们的需求去使用他,IdentityServer 有效的保护资源不受破坏。
大致使用流程如下图所示:官方的图: