Intro

最近開始真正的實踐了一些閘道器的東西，最近寫幾篇文章分享一下我的實踐以及遇到的問題。

本文主要介紹閘道器後面的服務如何進行認證。

解決思路

閘道器可以做一部分的認證和授權，服務內部有時候也會需要使用者的資訊，這時該怎麼辦呢，我們使用的是 JWT 認證，有一個 identity server去頒發，驗證 token，一種簡單方式可以把 token 直接往後傳，傳遞給後面的具體某個服務，後面的服務可以去 identity server 拿到公鑰資訊去驗證 token 的合法性，依然可以拿到使用者的一些基本資訊，但又覺得這樣後面的服務還是要依賴 identityserver 不是太好，因為認證已經在閘道器做掉了，後面不應該再去做認證的事情了，而且解析 JWT token 也是有一定的效能損耗，於是想把使用者的基本資訊在閘道器認證完成之後放到請求頭中。

我們閘道器用的Ocelot，開源的原生 .NET 專案方便自己擴充套件，Ocelot 中有一個 Claims2Headers 可以把 Claims 中的資訊轉換為請求頭，詳細使用參見檔案，但是實現有個bug，如果有多個值他只會取第一個，詳見issue，可以自己擴充套件一個 ocelot 的中介軟體替換掉原有的中介軟體。

把使用者資訊放到請求頭中，後面的服務從請求頭中就可以拿到使用者的基本資訊了，為了後面的服務不做過多的改動，我做了一個自定義的認證，從請求頭中拿使用者的基本資訊進行認證，這樣後面的服務還是可以直接使用 User.Identity.IsAuthenticated 和 User.Identity.Name 等，不需要做什麼改動。於是就有了這一根據請求頭認證的專案

實現效果

下載示例專案，在 TestWebApplication 目錄下執行 dotnet run

在瀏覽器中訪問 http://localhost:5000/api/values

使用 postman 或 fiddler （或其它你喜歡的工具）帶上 essay-header 訪問 http://localhost:5000/api/values

使用方式

使用方式可以參考示例專案

使用自定義的 HeaderAuthentication 來替代之前的認證方式，預設配置了使用者名稱，使用者id以及使用者角色，如果不能滿足可以在 options 中的 AdditionalHeaderToClaims 中新增更多轉換

這樣就可以了，你可以下載示例專案，快速體驗，你可以直接新增下麵幾個請求頭

UserId 使用者id
UserName 使用者名稱稱
UserRoles 使用者角色（多個角色以 , 分割，可以在 options 裡自定義多個值的分隔符

直接訪問需要授權才能訪問的資源了

現在只是初步的設想與實現，並已經驗證確實可行，程式碼還有一些業務邏輯比如 UserId 現在是必須的，可以根據自己需要自行修改，最近有點忙，找時間再修改重構一下再釋出 nuget 包。如果有什麼需求或問題，歡迎一起探討。

原始碼

自定義認證原始碼

提供了 HeaderAuthetication 和 QueryAuthentication 兩種實現，一種使用請求頭資訊認證，一種使用 QueryString 資訊認證。

HeaderAuthetication 主要實現在 HeaderAuthenticationHandler

核心程式碼，重寫 Authenticate 方法：

註意

請註意，如果使用這種方式，請確保你的服務不會被外界直接訪問，請求只能從閘道器或者本地除錯發起。需要保證安全性，不能直接暴露到公網，才能使用這種方式。

原文地址：https://www.cnblogs.com/weihanli/p/10464507.html

.NET社群新聞，深度好文，歡迎訪問公眾號文章彙總 http://www.csharpkit.com