歡迎光臨
每天分享高質量文章

使用Ocelot、IdentityServer4、Spring Cloud Eureka搭建微服務網關:(一)

網上這部分的文章和資料很多,有一篇非常不錯的文章(《Net Core 基於Ocelot+IdentityServer4+Eureka的搭建高性能網關介紹》),也介紹了這個內容,我也是參考了其中的某些步驟,一步一步演練下來,感覺.NET Core在微服務生態方面也是越來越成熟,功能也越來越強大。因此,我也撰寫記錄一下整個步驟,通過Step by Step的形式,加上一些註解,以及對於一些遇到的坑的描述,將整個實踐過程記錄下來,以便幫到有需要的讀者,也為自己的學習做個記錄。我不會再在概念性的問題上多費筆墨,比如什麼是API網關、Ocelot、IdentityServer4、Eureka又是什麼之類的問題,我不會做過多的說明,我會爭取用最簡單快捷的方式,將相關的實踐內容描述清楚,雖然本文的標題後面加了一個“(一)”的字樣,代表還會有後續的文章,因為我覺得一篇估計講不完。

案例場景

在我之前寫的《.NET Core中Ocelot的使用》系列文章中,我設計了一個場景,同時涉及了兩個微服務的RESTful API,當時使用兩個微服務,不僅是為了介紹API網關的主要功能,而且還引入了服務發現的內容,因此,使用兩個微服務來演示會比較合理。當然,今天我們已經學習過API網關和服務發現的基本知識了,我就進一步將案例場景簡化,我們只做一個API:Countries API,在這個API中,會有兩個API端點(API Endpoint):

  • GET /api/countries:獲取世界上所有國家的名稱(Name)以及它們的代碼(Code)
  • GET /api/countries/{code}:通過國家代碼,獲取國家的信息

當這兩個API被呼叫時,會從countries.json檔案中讀入資料並傳回結果。countries.json檔案的內容大致如下:

1
2
3
4
5
6
7
8
9
10
11
[
  {
    "name": "Afghanistan",
    "code": "AF"
  },
  {
    "name": "Albania",
    "code": "AL"
  }
  // ......
]

非常簡單。下麵我們就一步步地實現整個微服務網關的基礎架構。

Step 1:實現Countries API

新建ASP.NET Core API應用程式,在Linux或者MacOS下,可以使用dotnet new命令列創建,在Windows下,也可以使用Visual Studio自帶的專案模板(需要安裝ASP.NET Core Workload)創建。然後新建Countries控制器,代碼如下:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
[Route("api/[controller]")]
[ApiController]
public class CountriesController : ControllerBase
{
    private readonly ILogger logger;
    public CountriesController(ILogger logger) => this.logger = logger;
    private static readonly Lazy> countries = new Lazy>(()
        => JsonConvert.DeserializeObject>(System.IO.File.ReadAllText("countries.json")));
    [HttpGet]
    public IEnumerable Get() => countries.Value;
    [HttpGet("{code}")]
    public IEnumerable GetByCode(string code) => countries.Value.Where(c => string.Equals(c.Code, code, StringComparison.InvariantCultureIgnoreCase));
}

按需設置launchSettings.json檔案,設置偵聽端口和啟動方式。這裡我選擇命令列方式,偵聽5001端口,啟動專案,使用curl對API進行測試:

Step 2:使用Identity Server 4提供認證服務

新建一個新的ASP.NET Core MVC應用程式,將其作為API的認證機構(Authentication Authority)。你也可以根據需要使用ASP.NET Core API或者空的ASP.NET Core專案作為基礎來開發這個認證機構服務,不過為了今後的進一步介紹,我這裡選擇MVC作為專案模板。在這個專案中,添加對IdentityServer4這一NuGet包的依賴,然後對Startup.cs進行以下修改。

首先,在Startup.cs中加入如下方法,對API資源、訪問API的客戶端以及認證資源進行配置:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
private static IEnumerable GetApis()
    => new[]
    {
        new ApiResource("country_code_api", "Country Code API")
    };
private static IEnumerable GetClients()
    => new[]
    {
        new Client
        {
            ClientId = "country_api_client",
            AllowedGrantTypes = GrantTypes.ClientCredentials,
            ClientSecrets =
            {
                new Secret("abcdef".Sha256())
            },
            AllowedScopes = { "country_code_api" }
        }
    };
private static IEnumerable GetIdentityResources()
    => new IdentityResource[]
    {
        new IdentityResources.OpenId(),
        new IdentityResources.Profile()
    };

然後,在ConfigureServices方法中,加入對Identity Server 4的配置:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
public void ConfigureServices(IServiceCollection services)
{
    services.Configure(options =>
    {
        // This lambda determines whether user consent for non-essential cookies is needed for a given request.
        options.CheckConsentNeeded = context => true;
        options.MinimumSameSitePolicy = SameSiteMode.None;
    });
    services.AddIdentityServer()
        .AddDeveloperSigningCredential()
        .AddInMemoryIdentityResources(GetIdentityResources())
        .AddInMemoryApiResources(GetApis())
        .AddInMemoryClients(GetClients());
    services.AddMvc().SetCompatibilityVersion(CompatibilityVersion.Version_2_2);
}

最後,在Configure方法中,啟用Identity Server 4:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
public void Configure(IApplicationBuilder app, IHostingEnvironment env)
{
    if (env.IsDevelopment())
    {
        app.UseDeveloperExceptionPage();
    }
    else
    {
        app.UseExceptionHandler("/Error");
    }
    app.UseStaticFiles();
    app.UseCookiePolicy();
    app.UseIdentityServer();
    app.UseMvc();
}

同樣,根據需要修改launchSettings.json檔案,然後啟動該專案,可以通過http://localhost:5000/.well-known/openid-configuration這一端點來獲得OpenID配置的元資料:

Step 3:使用Identity Server 4認證服務對API訪問進行身份認證

接下來,修改Countries API,使其使用上面的Identity Server進行API訪問認證。修改Countries API專案的Startup.cs檔案中的ConfigureServices和Configure方法,加入以下代碼:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
public void ConfigureServices(IServiceCollection services)
{
    services.AddMvc().SetCompatibilityVersion(CompatibilityVersion.Version_2_2);
    services.AddAuthentication("Bearer")
        .AddJwtBearer("Bearer", options =>
        {
            options.Authority = "http://localhost:5000";
            options.RequireHttpsMetadata = false;
            options.Audience = "country_code_api";
        });
}
public void Configure(IApplicationBuilder app, IHostingEnvironment env)
{
    if (env.IsDevelopment())
    {
        app.UseDeveloperExceptionPage();
    }
    app.UseAuthentication();
    app.UseMvc();
}

在上面的方法中,通過options.Authority屬性設置認證機構為我們的Identity Server的地址,然後再在ContriesController上添加Authorize特性,表示Controller需要身份認證:

1
2
3
4
5
6
7
[Route("api/[controller]")]
[ApiController]
[Authorize]
public class CountriesController : ControllerBase
{
    // ...
}

此時啟動Identity Server,然後重啟Contries API專案,再次使用curl測試,發現請求已經傳回401 Unauthorized狀態:

因為我們沒有提供任何Access Token,所以也就無法訪問Countries API。目前我們使用的訪問方式還是最簡單的Client Credentials,後面我們會使用Password的方式來改造我們的認證形式,以實現用戶註冊、認證等應用場景。現在,我們新建一個控制台應用程式,在這個控制台應用程式上,添加IdentityModel的NuGet依賴項,然後使用下麵的代碼訪問Countries API:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
static async Task Main(string[] args)
{
    using (var client = new HttpClient())
    {
        // IdentityModel為HttpClient提供了基於認證模型的API擴展
        // 獲取Access Token
        var discoResponse = await client.GetDiscoveryDocumentAsync("http://localhost:5000");
        if (discoResponse.IsError)
        {
            Console.WriteLine(discoResponse.Error);
            return;
        }
        var tokenResponse = await client.RequestClientCredentialsTokenAsync(new ClientCredentialsTokenRequest
        {
            Address = discoResponse.TokenEndpoint,
            ClientId = "country_api_client",
            ClientSecret = "abcdef",
            Scope = "country_code_api"
        });
        if (tokenResponse.IsError)
        {
            Console.WriteLine(tokenResponse.Error);
            return;
        }
        // 輸出獲取Access Token的API傳回結果
        Console.WriteLine(tokenResponse.Json);
        // 在HttpClient上設置Access Token
        client.SetBearerToken(tokenResponse.AccessToken);
        // 呼叫API並傳回結果
        var response = await client.GetAsync("http://localhost:5001/api/countries/cn");
        Console.WriteLine(response.IsSuccessStatusCode ?
            $"{response.StatusCode} {await response.Content.ReadAsStringAsync()}" : response.StatusCode.ToString());
    }
}

運行後可以看到,程式可以輸出正確結果:

小結

本文以最快速的方式展示瞭如何讓ASP.NET Core Web API基於Identity Server 4實現身份認證,我們暫時還沒有引入Ocelot API網關,也沒有引入API訪問授權、用戶註冊與登錄等等內容,這些都會在後續文章中一步步介紹。由於牽涉的內容真的非常多,文章沒有辦法把所有細節內容一一解釋完整,因此如果在閱讀上存在疑惑,請在文章下方留言,我會一一回覆。下一講會介紹如何在Ocelot API網關上整合Identity Server 4的認證服務。

以下是本文所描述的場景的UML時序圖,供參考:

原文地址:http://sunnycoding.cn/2019/02/14/microservices-with-ocelot-id4-and-eureka-part1


.NET社區新聞,深度好文,歡迎訪問公眾號文章彙總 http://www.csharpkit.com


 

    閱讀原文

    赞(0)

    分享創造快樂