AspNetCore中使用Ocelot之 IdentityServer4（1）

AspNetCore中使用Ocelot之 IdentityServer4（1）

前言：

OceLot網關是基於AspNetCore 產生的可擴展的高性能的企業級Api網關，目前已經基於2.0 升級版本升級，在使用AspNetCore 開發的時候可使用2.0版本了，

開源項目Ocelot 張大隊長是主力的參與人員，之前提起張大隊前面都會加個騰訊，張大隊於2018年8月8日 正式離開了騰訊，迴歸了真我，這裏祝張大隊：事事順心。

OceLot是開源的，開源協議是MIT，因此咱們能夠大膽放心的使用。

 

OceLot 的GitHub地址：https://github.com/ThreeMammals/Ocelot

OceLot 的中文文檔：http://www.javashuo.com/article/p-osgdmesl-nh.html

 

目前OceLot  已經成爲了一個使用AspNetCore 幾乎 必會的一項技術了，因此關注，而且要學習，或者已經在使用的.net 開發人員能夠關注並學習瞭解一下OceLot，

Ocelot的功能：

　　一、基於IdentityServer4的認證
　　二、Consul的註冊發現
　　三、單機的限流控制
　　四、基於Polly的使用
　　五、支持Http以及其餘的rpc通信
　　六、網關集羣
  　　    等功能，

能夠看出很是的強大。接下來咱們將Ocelot的功能基於AspNetCore 進行實現。首先學習一下IdentityServer4

一、基於IdentityServer4的認證

在使用以前咱們先明白IdentityServer4 是什麼以及使用原理。

文檔地址：http://docs.identityserver.io/en/release/

中文文檔：網上也有 推薦 ：https://www.cnblogs.com/ideck/

IdentityServer 認證的做用是，不是誰想登陸個人Web就能登陸的，也不是誰想使用個人接口就能使用的，不通過個人贊成就想使用個人服務那是不存在的，除非你是故意的。

咱們說一個故事。

怎麼說呢，認證其實就是一把鑰匙，打開一扇門的鑰匙，就比如幾我的一塊兒租房子同樣，該房門的鑰匙是指紋的，房東只給四我的受權了指紋開門的權限，如今有四我的能夠進屋了，可是咱們有五我的要進屋，可是房東只受權咱們其中四我的了，還有一人沒有鑰匙，可是每多配一把鑰匙，須要向房東申請受權，申請經過後才能指紋開鎖，這我的才能進屋，咱們變要求房東在受權一我的，可是這時候房東說了那位哥們看起來不像是好人不給受權，若是之後回來了敲門，肯定是你後我來給開門，後來這哥們氣不過經過私下操做也能開門了，有一天被發現了，該哥們便失去了租住的權利了。

 

這裏的鑰匙就是祕鑰，有祕鑰了纔能有進行訪問程序的權限，可是祕鑰只有受權後才能使用，事實上沒有通過受權的祕鑰是不能進行程序訪問的，可是萬事都不是絕對的，安全一直是咱們所關注的問題，就比如一把簡單的鑰匙，通過違規操做，就能打開一扇門，危害咱們的安危，這把違規的鑰匙告訴咱們的是，祕鑰要嚴加看管，輕易不要暴露給別人，安全也要增強不要輕易放鬆。

IdentityServer4 的規則：

　　一、咱們常見的程序之間的交互方式有：
　　二、瀏覽器和web 之間的通訊：
　　三、Web 於Api之間的通訊：
　　四、用戶於Api 之間的通訊：
　　五、瀏覽器程序 於Api 之間的通訊：
　　六、服務器程序 於Api 通信：
　　七、Api 之間的相互通信：

爲了保證安全咱們建立一個安全令牌的服務，用來管理通訊之間的基礎安全，並非說有了安全令牌服務就絕對安全了，爲了安全咱們還須要作到更多，沒有絕對的安全存在。

IdentityServer4 具體能用在什麼地方：

由於IdentityServer4是一款包含了，受權（OAuth2）與認證（OpendID）協議的框架。

具體什麼是OAuth2和OpendID 咱們以上文的故事來分析一下，受權（OAuth2）就是房東給租戶受權的鑰匙同樣，咱們拿到受權的鑰匙後，能夠隨意的進出房子，可是那個倒黴的哥們沒有沒有受權，每次回家都須要先讓房東證實他是他（認證（OpendID 表明着是本人）後才能進出房子，每次進屋都須要證實本身，這樣進出屋就不是很方便了，權限明顯沒有被受權（OAuth2）的人高。

若是經過個人描述還不是很清楚的，能夠搜索一下具體的區別，我想收穫會更大。

推薦一個地址：https://www.jianshu.com/p/5d535eee0a9

有了這兩樣東西后咱們能夠作如下事情（不包括全部）：

　　一、能夠作單點登陸的功能
　　二、能夠作身份驗證
　　三、能夠作Api訪問權限的控制
　　四、也能夠作第三方登陸

IdentityServer4是靈活的，咱們能夠根據咱們的需求去使用他，IdentityServer 有效的保護資源不受破壞。

　　大體使用流程以下圖所示：官方的圖：

搭建第一個IdentityServer 入門程序

一、建立AspNetCore空白Web 程序

二、在程序控制臺中添加IdentityServer4 的包 安裝命令獲取地址 ：https://www.nuget.org/packages/IdentityServer4

　　安裝如圖所示：

　　使用命令 Install-Package IdentityServer4 -Version 2.2.0

　　

三、在StartUP中這樣使用：下面就不過多的描述了，大多數都寫在代碼中：

　　在ConfigureServices 中寫入以下：

 public void ConfigureServices(IServiceCollection services)
        {
            //注入服務
            services.AddIdentityServer().
                AddDeveloperSigningCredential()//擴展程序爲簽名令牌建立臨時密鑰材料
               .AddInMemoryClients(Config.GetClients())//基於配置對象的內存中集合的註冊IClientStore和ICorsPolicyService實現Client
               .AddInMemoryApiResources(Config.GetApiResources());//IResourceStore根據ApiResource配置對象的內存中集合註冊實現
        }

　　在 Configure 注入：

  public void Configure(IApplicationBuilder app, IHostingEnvironment env)
        {
            if (env.IsDevelopment())
            {
                app.UseDeveloperExceptionPage();
            }
            //注入HTTP管道中
            app.UseIdentityServer();

            app.Run(async (context) =>
            {
                await context.Response.WriteAsync("Hello World!");
            });
        }

　　新建配置類Config：

using IdentityServer4.Models;
using System;
using System.Collections.Generic;
using System.Linq;
using System.Threading.Tasks;

namespace InentityServer4_1
{
    public class Config
    {
        /// <summary>
        /// 返回收保護的Api集合
        /// </summary>
        /// <returns></returns>

        public static IEnumerable<ApiResource> GetApiResources()
        {
            List<ApiResource> resources = new List<ApiResource>();
            //ApiResource第一個參數是應用的名字，第二個參數是描述
            resources.Add(new ApiResource("API", "接口API"));
            return resources;
        }
        /// <summary>
        /// 定義客戶信息列表
        /// </summary>
        /// <returns></returns>
        public static IEnumerable<Client> GetClients()
        {
            List<Client> clients = new List<Client>();
            clients.Add(new Client
            {
                ClientId = "clientID",//API帳號、客戶端Id
                //客戶端驗證憑證受權類型
                AllowedGrantTypes = GrantTypes.ClientCredentials,
                //ClientSecrets 認證祕鑰
                ClientSecrets =
                {
                    //SHA 安全散列算法 是一個密碼散列函數家族，是FIPS所認證的安全散列算法。能計算出一個數字消息所對應到的，長度固定的字符串（又稱消息摘要）的算法。且若輸入的消息不一樣，它們對應到不一樣字符串的機率很高。
                    new Secret("123321".Sha256(),"用戶祕鑰")//祕鑰
                },

                //AllowedScopes 定義當祕鑰驗證經過後容許訪問的資源
                //多個使用 逗號隔開 如 AllowedScopes = { "API","API1","API1" }
                AllowedScopes = { "API" }
            });
            return clients;
        }
    }
}

四、運行項目後根據啓動的端口後面加上：.well-known/openid-configuration 能夠獲得配置信息的內容：

　　個人是默認的5000端口 如訪問：http://localhost:5000/.well-known/openid-configuration

這樣身份認證服務就Ok了。

 

下一篇：咱們建立一個受保護的Api,以及客戶端如何使用。

 

原本最近 想寫一系列 基於Ocelot+ InentityServer4 功能文章，以及後續使用的功能文章， 今天才接到通知 咱們立刻要上線服務，以及新的項目的全部AspNetCore的微服務接口 都要使用 Apollo 配置中心，最近要轉移一下學習重心了，先把項目搞定了在 繼續下一篇了。

有不足之處 但願你們指出相互學習，

                      本文原創：轉載請註明出處 謝謝！