Ocelot简易教程（五）之集成IdentityServer认证以及授权 (2)

日期：2021-08-31 栏目：程序人生浏览：次

项目进行IdentityServer服务端相关的配置，这里为了演示的方便采用硬编码的方式进行的配置。具体配置可以参考Asp.NetCoreWebApi图片上传接口(二)集成IdentityServer4授权访问(附源码)这篇文章

在网关项目OcelotDemo中添加Nuget包

Install-Package IdentityServer4.AccessTokenValidation

在OcelotDemo项目中的Startup.cs中加入identityServer验证，如下所示：

在ocelot.json中需要加入验证的ReRoute中，修改为如下的配置代码：

"ReRoutes": [ { "DownstreamPathTemplate": "/api/{everything}", "DownstreamScheme": "http", "DownstreamHostAndPorts": [ { "Host": "localhost", "Port": 1001 }, { "Host": "localhost", "Port": 1002 } ], "UpstreamPathTemplate": "/{everything}", "UpstreamHttpMethod": [ "Get", "Post" ], "LoadBalancerOptions": { "Type": "RoundRobin" }, "AuthenticationOptions": { "AuthenticationProviderKey": "OcelotKey", "AllowedScopes": [] } } ]

打开PostMan测试一下代码吧，首先访问一下:1000/values 这时候返回的结果是401未授权的状态，如下图所示：

1539780575952

然后访问我们上面新建的IdentityServer服务器并获取Token。如下图所示配置对应的参数进行获取：

1539780272769

然后使用我们获取到的access_token进行Ocelot网关接口的访问，如下所示进行配置：

1539780805247

可以看到结果返回了200代码，并且结果在Good以及Order之间进行切换。因为Ocelot.json文件中对路由进行了RoundRobin的负载均衡的策略。

授权

Ocelot支持基于声明的授权，该授权在身份验证后运行。这意味着如果您有要授权的Url，则可以将以下内容添加到ReRoute配置中。

"RouteClaimsRequirement": { "UserType": "registered" }

在此示例中，当调用授权中间件时，Ocelot将检查用户是否具有声明类型UserType以及是否已注册该声明的值。如果不是，则用户将不被授权，并且将响应403禁止访问的状态码。

当然这种授权的方式在大部分业务场景中都是不适用的，需要自己重写Ocelot的中间件才能实现。通过Ocelot中间件的重写你可以实现自己的授权逻辑，如果你还有限流的需求，比如说对每个客户端进行不同的限流策略。比方说，有三个客户端A,B,C。访问相同的URL，但是我们要控制A,每分钟只能访问10次，B每分钟能访问20次，而C不允许访问。针对这个场景Ocelot却没有相关的实现。但是我们可以通过重写Ocelot中间件来实现它。由于篇幅有限，所以今天就不进行介绍了。但是我会抽时间进行相关的实现，并分享给大家。

源码

本篇博文的源码已经上传到Github。可以进行参考。https://github.com/yilezhu/OcelotDemo

总结

本文先大致介绍一下Ocelot如何集成认证授权，然后通过实例进行了IdentityServer集成的演示，希望能对大家有一定的参考作用。当然文中也提到了，应对复杂的授权以及限流需要自行重写Ocelot中间件进行实现。具体如何实现呢，我会尽快分享给大家。同样的通过重写Ocelot中间件我们还可以把ocelot.json的配置信息存储到数据库并缓存到Redis中！最后，感谢大家的阅读！

转载注明出处：https://www.heiqu.com/zyxspy.html

Ocelot简易教程（五）之集成IdentityServer认证以及授权 (2)

相关推荐