(3)ASP.NET Core3.1 Ocelot認證
1.認證
當客戶端通過Ocelot訪問下游服務的時候,為了保護下游資源伺服器會進行認證鑑權,這時候需要在Ocelot新增認證服務。新增認證服務後,隨後使用Ocelot基於宣告的任何功能,例如授權或使用Token中的值修改請求。使用者必須像往常一樣在其Startup.cs中註冊身份驗證服務,但是他們為每次註冊提供一個方案(身份驗證提供者金鑰),例如:
public void ConfigureServices(IServiceCollection services)
{
var authenticationProviderKey = "TestKey";
services.AddAuthentication()
.AddJwtBearer(authenticationProviderKey, x =>
{
});
}在此Ocelot認證專案示例中,TestKey是已註冊此提供程式的方案。然後我們將其對映到配置中的Routes路由,例如:
{
"Routes": [
{
"DownstreamPathTemplate": "/api/customers",
"DownstreamScheme": "http",
"DownstreamHost": "localhost",
"DownstreamPort": 9001,
"UpstreamPathTemplate": "/customers",
"UpstreamHttpMethod": [ "Get" ],
"AuthenticationOptions": {
"AuthenticationProviderKey": "TestKey",
"AllowedScopes": []
}
}
]
}Ocelot執行時,它將檢視Routes.AuthenticationOptions.AuthenticationProviderKey並檢查是否存在使用給定金鑰註冊的身份驗證提供程式。如果不存在,則Ocelot將不會啟動,如果存在,則Routes將在執行時使用該提供程式。如果對路由進行身份驗證,Ocelot將在執行身份驗證中介軟體時呼叫與之關聯的任何方案。如果請求通過身份驗證失敗,Ocelot將返回http狀態程式碼401。
2.JWT Tokens Bearer認證
Json Web Token (JWT),是為了在網路應用環境間傳遞宣告而執行的一種基於JSON的開放標準(RFC 7519)。該token被設計為緊湊且安全的,特別適用於分散式站點的單點登入(SSO)場景。JWT的宣告一般被用來在身份提供者和服務提供者間傳遞被認證的使用者身份資訊,以便於從資源伺服器獲取資源,也可以增加一些額外的其它業務邏輯所必須的宣告資訊,該token也可直接被用於認證,也可被加密。
2.1JWT令牌結構
在緊湊的形式中,JSON Web Tokens由dot(.)分隔的三個部分組成,它們是:Header頭、Payload有效載荷、Signature簽名。因此,JWT通常如下所示:xxxxx.yyyyy.zzzzz(Header.Payload.Signature)。
2.1.1Header頭
標頭通常由兩部分組成:令牌的型別,即JWT,以及正在使用的簽名演算法,例如HMAC SHA256或RSA。例如:
{
"alg": "HS256",
"typ": "JWT"
}
然後,這個JSON被編碼為Base64Url,形成JWT的第一部分。
2.1.2Payload有效載荷
Payload部分也是一個JSON物件,用來存放實際需要傳遞的資料。JWT規定了7個官方欄位,供選用。
iss (issuer):簽發人
exp (expiration time):過期時間
sub (subject):主題
aud (audience):受眾
nbf (Not Before):生效時間
iat (Issued At):簽發時間
jti (JWT ID):編號
除了官方欄位,你還可以在這個部分定義私有欄位,下面就是一個例子。例如:
{
"sub": "1234567890",
"name": "John Doe",
"admin": true
}
注意,JWT預設是不加密的,任何人都可以讀到,所以不要把祕密資訊放在這個部分。這個JSON物件也要使用Base64URL演算法轉成字串。
2.1.3.Signature簽名
Signature部分是前兩部分的簽名,防止資料篡改。首先,需要指定一個金鑰(secret)。這個金鑰只有伺服器才知道,不能洩露給使用者。然後,使用Header裡面指定的簽名演算法(預設是HMAC SHA256),按照下面的公式產生簽名:
HMACSHA256( base64UrlEncode(header) + "." + base64UrlEncode(payload), secret)
簽名用於驗證訊息在此過程中未被更改,並且,在使用私鑰簽名的令牌的情況下,它還可以驗證JWT的發件人是否是它所聲稱的人。把他們三個全部放在一起,輸出是三個由點分隔的Base64-URL字串,可以在HTML和HTTP環境中輕鬆傳遞,而與基於XML的標準(如SAML)相比更加緊湊。下面顯示了一個JWT,它具有先前的頭和有效負載編碼,並使用機密簽名:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9 .eyJodHRwOi8vc2NoZW1hcy54bWxzb2FwLm9yZy93cy8yMDA1LzA1L2lkZW50aXR5L2NsYWltcy9uYW1lIjoid3prNzAzIiwibmJmIjoiMTU5MjE0MzkzNyIsImV4cCI6MTU5MjE0Mzk5OCwiaXNzIjoiYXV0aC5qd3QuY2MiLCJhdWQiOiJkZW5nd3V8MjAyMC82LzE0IDIyOjEyOjE5In0 .4RiwhRy0rQkZjclOFWyTpmW7v0AMaL3aeve1L-eWIz0
其實一般傳送使用者名稱和密碼獲取token那是由Identity4來完成的,包括驗證使用者,生成JwtToken。但是專案這裡是由System.IdentityModel.Tokens類庫來生成JwtToken。最後返回jwt令牌token給使用者。JwtToken解碼可以通過https://jwt.io/中進行檢視。
3.專案演示
3.1APIGateway專案
在該專案中啟用身份認證來保護下游api服務,使用JwtBearer認證,將預設的身份驗證方案設定為TestKey。在appsettings.json檔案中配置認證中金鑰(Secret)跟受眾(Aud)資訊:
{
"Audience": {
"Secret": "Y2F0Y2hlciUyMHdvbmclMjBsb3ZlJTIwLm5ldA==",
"Iss": "http://www.c-sharpcorner.com/members/catcher-wong",
"Aud": "Catcher Wong"
}
}
Startup新增身份認證程式碼如下:
public void ConfigureServices(IServiceCollection services)
{
//獲取appsettings.json檔案中配置認證中金鑰(Secret)跟受眾(Aud)資訊
var audienceConfig = Configuration.GetSection("Audience");
//獲取安全祕鑰
var signingKey = new SymmetricSecurityKey(Encoding.ASCII.GetBytes(audienceConfig["Secret"]));
//token要驗證的引數集合
var tokenValidationParameters = new TokenValidationParameters
{
//必須驗證安全祕鑰
ValidateIssuerSigningKey = true,
//賦值安全祕鑰
IssuerSigningKey = signingKey,
//必須驗證簽發人
ValidateIssuer = true,
//賦值簽發人
ValidIssuer = audienceConfig["Iss"],
//必須驗證受眾
ValidateAudience = true,
//賦值受眾
ValidAudience = audienceConfig["Aud"],
//是否驗證Token有效期,使用當前時間與Token的Claims中的NotBefore和Expires對比
ValidateLifetime = true,
//允許的伺服器時間偏移量
ClockSkew = TimeSpan.Zero,
//是否要求Token的Claims中必須包含Expires
RequireExpirationTime = true,
};
//新增服務驗證,方案為TestKey
services.AddAuthentication(o =>
{
o.DefaultAuthenticateScheme = "TestKey";
})
.AddJwtBearer("TestKey", x =>
{
x.RequireHttpsMetadata = false;
//在JwtBearerOptions配置中,IssuerSigningKey(簽名祕鑰)、ValidIssuer(Token頒發機構)、ValidAudience(頒發給誰)三個引數是必須的。
x.TokenValidationParameters = tokenValidationParameters;
});
//新增Ocelot閘道器服務時,包括Secret祕鑰、Iss簽發人、Aud受眾
services.AddOcelot(Configuration);
}
public async void Configure(IApplicationBuilder app, IHostingEnvironment env)
{
//使用認證服務
app.UseAuthentication();
//使用Ocelot中介軟體
await app.UseOcelot();
}
3.1.1Identity Server承載JWT Token
在第二小節介紹JWT Token認證時候,我們都知道一般傳送使用者名稱和密碼獲取Token那是由Identity4來完成的,包括驗證使用者,生成JWT Token。也就是說Identity Server承載了JWT Token認證功能。為了使用IdentityServer承載Token,請像往常一樣在ConfigureServices中使用方案(金鑰)註冊IdentityServer服務。如果您不知道如何執行此操作,請查閱IdentityServer文件。
public void ConfigureServices(IServiceCollection services)
{
var authenticationProviderKey = "TestKey";
Action<IdentityServerAuthenticationOptions> options = o =>
{
o.Authority = "https://whereyouridentityserverlives.com";
o.ApiName = "api";
o.SupportedTokens = SupportedTokens.Both;
o.ApiSecret = "secret";
};
services.AddAuthentication()
.AddIdentityServerAuthentication(authenticationProviderKey, options);
services.AddOcelot();
}
在Identity4中是由Authority引數指定OIDC服務地址,OIDC可以自動發現Issuer, IssuerSigningKey等配置,而o.Audience與x.TokenValidationParameters = new TokenValidationParameters { ValidAudience = "api" }是等效的。
3.2AuthServer專案
此服務主要用於客戶端請求受保護的資源伺服器時,認證後產生客戶端需要的JWT Token,生成JWT Token關鍵程式碼如下:
[Route("api/[controller]")]
public class AuthController : Controller
{
private IOptions<Audience> _settings;
public AuthController(IOptions<Audience> settings)
{
this._settings = settings;
}
/// <summary>
///使用者使用 使用者名稱密碼 來請求伺服器
///伺服器進行驗證使用者的資訊
///伺服器通過驗證傳送給使用者一個token
///客戶端儲存token,並在每次請求時附送上這個token值, headers: {'Authorization': 'Bearer ' + token}
///服務端驗證token值,並返回資料
/// </summary>
/// <param name="name"></param>
/// <param name="pwd"></param>
/// <returns></returns>
[HttpGet]
public IActionResult Get(string name, string pwd)
{
//驗證登入使用者名稱和密碼
if (name == "catcher" && pwd == "123")
{
var now = DateTime.UtcNow;
//新增使用者的資訊,轉成一組宣告,還可以寫入更多使用者資訊宣告
var claims = new Claim[]
{
//宣告主題
new Claim(JwtRegisteredClaimNames.Sub, name),
//JWT ID 唯一識別符號
new Claim(JwtRegisteredClaimNames.Jti, Guid.NewGuid().ToString()),
//釋出時間戳 issued timestamp
new Claim(JwtRegisteredClaimNames.Iat, now.ToUniversalTime().ToString(), ClaimValueTypes.Integer64)
};
//下面使用 Microsoft.IdentityModel.Tokens幫助庫下的類來建立JwtToken
//安全祕鑰
var signingKey = new SymmetricSecurityKey(Encoding.ASCII.GetBytes(_settings.Value.Secret));
//宣告jwt驗證引數
var tokenValidationParameters = new TokenValidationParameters
{
//必須驗證安全祕鑰
ValidateIssuerSigningKey = true,
//賦值安全祕鑰
IssuerSigningKey = signingKey,
//必須驗證簽發人
ValidateIssuer = true,
//賦值簽發人
ValidIssuer = _settings.Value.Iss,
//必須驗證受眾
ValidateAudience = true,
//賦值受眾
ValidAudience = _settings.Value.Aud,
//是否驗證Token有效期,使用當前時間與Token的Claims中的NotBefore和Expires對比
ValidateLifetime = true,
//允許的伺服器時間偏移量
ClockSkew = TimeSpan.Zero,
//是否要求Token的Claims中必須包含Expires
RequireExpirationTime = true,
};
var jwt = new JwtSecurityToken(
//jwt簽發人
issuer: _settings.Value.Iss,
//jwt受眾
audience: _settings.Value.Aud,
//jwt一組宣告
claims: claims,
notBefore: now,
//jwt令牌過期時間
expires: now.Add(TimeSpan.FromMinutes(2)),
//簽名憑證: 安全金鑰、簽名演算法
signingCredentials: new SigningCredentials(signingKey, SecurityAlgorithms.HmacSha256)
);
//生成jwt令牌(json web token)
var encodedJwt = new JwtSecurityTokenHandler().WriteToken(jwt);
var responseJson = new
{
access_token = encodedJwt,
expires_in = (int)TimeSpan.FromMinutes(2).TotalSeconds
};
return Json(responseJson);
}
else
{
return Json("");
}
}
}
public class Audience
{
public string Secret { get; set; }
public string Iss { get; set; }
public string Aud { get; set; }
}
appsettings.json檔案中配置認證中金鑰(Secret)跟受眾(Aud)資訊:
{
"Audience": {
"Secret": "Y2F0Y2hlciUyMHdvbmclMjBsb3ZlJTIwLm5ldA==",
"Iss": "http://www.c-sharpcorner.com/members/catcher-wong",
"Aud": "Catcher Wong"
}
}
3.3CustomerAPIServices專案
該專案跟APIGateway專案是一樣的,為了保護下游api服務,使用JwtBearer認證,將預設的身份驗證方案設定為TestKey。在appsettings.json檔案中配置認證中金鑰(Secret)跟受眾(Aud)資訊:
{
"Audience": {
"Secret": "Y2F0Y2hlciUyMHdvbmclMjBsb3ZlJTIwLm5ldA==",
"Iss": "http://www.c-sharpcorner.com/members/catcher-wong",
"Aud": "Catcher Wong"
}
}
Startup新增身份認證程式碼如下:
public void ConfigureServices(IServiceCollection services)
{
//獲取appsettings.json檔案中配置認證中金鑰(Secret)跟受眾(Aud)資訊
var audienceConfig = Configuration.GetSection("Audience");
//獲取安全祕鑰
var signingKey = new SymmetricSecurityKey(Encoding.ASCII.GetBytes(audienceConfig["Secret"]));
//token要驗證的引數集合
var tokenValidationParameters = new TokenValidationParameters
{
//必須驗證安全祕鑰
ValidateIssuerSigningKey = true,
//賦值安全祕鑰
IssuerSigningKey = signingKey,
//必須驗證簽發人
ValidateIssuer = true,
//賦值簽發人
ValidIssuer = audienceConfig["Iss"],
//必須驗證受眾
ValidateAudience = true,
//賦值受眾
ValidAudience = audienceConfig["Aud"],
//是否驗證Token有效期,使用當前時間與Token的Claims中的NotBefore和Expires對比
ValidateLifetime = true,
//允許的伺服器時間偏移量
ClockSkew = TimeSpan.Zero,
//是否要求Token的Claims中必須包含Expires
RequireExpirationTime = true,
};
//新增服務驗證,方案為TestKey
services.AddAuthentication(o =>
{
o.DefaultAuthenticateScheme = "TestKey";
})
.AddJwtBearer("TestKey", x =>
{
x.RequireHttpsMetadata = false;
//在JwtBearerOptions配置中,IssuerSigningKey(簽名祕鑰)、ValidIssuer(Token頒發機構)、ValidAudience(頒發給誰)三個引數是必須的。
x.TokenValidationParameters = tokenValidationParameters;
});
services.AddMvc();
}
public void Configure(IApplicationBuilder app)
{
//使用認證服務
app.UseAuthentication();
app.UseMvc();
}
在CustomersController下新增一個需要認證方法,一個不需要認證方法:
[Route("api/[controller]")]
public class CustomersController : Controller
{
//新增認證屬性
[Authorize]
[HttpGet]
public IEnumerable<string> Get()
{
return new string[] { "Catcher Wong", "James Li" };
}
[HttpGet("{id}")]
public string Get(int id)
{
return $"Catcher Wong - {id}";
}
}
3.4ClientApp專案
該專案是用來模擬客戶端訪問資源伺服器整個認證流程測試專案,在Program主程式可以看到如下程式碼:
class Program
{
static void Main(string[] args)
{
HttpClient client = new HttpClient();
client.DefaultRequestHeaders.Clear();
client.BaseAddress = new Uri("http://localhost:9000");
// 1. without access_token will not access the service
// and return 401 .
var resWithoutToken = client.GetAsync("/customers").Result;
Console.WriteLine($"Sending Request to /customers , without token.");
Console.WriteLine($"Result : {resWithoutToken.StatusCode}");
//2. with access_token will access the service
// and return result.
client.DefaultRequestHeaders.Clear();
Console.WriteLine("\nBegin Auth....");
var jwt = GetJwt();
Console.WriteLine("End Auth....");
Console.WriteLine($"\nToken={jwt}");
client.DefaultRequestHeaders.Add("Authorization", $"Bearer {jwt}");
var resWithToken = client.GetAsync("/customers").Result;
Console.WriteLine($"\nSend Request to /customers , with token.");
Console.WriteLine($"Result : {resWithToken.StatusCode}");
Console.WriteLine(resWithToken.Content.ReadAsStringAsync().Result);
//3. visit no auth service
Console.WriteLine("\nNo Auth Service Here ");
client.DefaultRequestHeaders.Clear();
var res = client.GetAsync("/customers/1").Result;
Console.WriteLine($"Send Request to /customers/1");
Console.WriteLine($"Result : {res.StatusCode}");
Console.WriteLine(res.Content.ReadAsStringAsync().Result);
Console.Read();
}
private static string GetJwt()
{
HttpClient client = new HttpClient();
client.BaseAddress = new Uri( "http://localhost:9000");
client.DefaultRequestHeaders.Clear();
var res2 = client.GetAsync("/api/auth?name=catcher&pwd=123").Result;
dynamic jwt = JsonConvert.DeserializeObject(res2.Content.ReadAsStringAsync().Result);
return jwt.access_token;
}
}
執行專案看看測試結果:
結合程式碼,我們能看到當客戶端通過Ocelot閘道器訪問下游服務http://localhost:9000/api/Customers/Get方法時候,因為該方法是需要通過認證才返回處理結果的,所以會進行JWT Token認證,如果發現沒有Token,Ocelot則返回http狀態程式碼401拒絕訪問。如果我們通過GetJwt方法在AuthServer服務上登入認證獲取到授權Token,然後再訪問該資源伺服器介面,立即就會返回處理結果,通過跟而未加認證屬性的http://localhost:9000/api/Customers/Get/{id}方法對比,我們就知道,Ocelot認證已經成功了!
4.總結
該章節只是結合demo專案簡單介紹在Ocelot中如何使用JWT Token認證。其實正式環境中,Ocelot是應該整合IdentityServer認證授權的,同樣的通過重寫Ocelot中介軟體我們還可以把configuration.json的配置資訊儲存到資料庫或者快取到Redis中。
參考文獻:
Ocelot