ASP.NET Core3.1 Ocelot认证的实现

ASP.NET Core 3.1中Ocelot的认证之旅——理解与实践

在网络安全日益重要的今天，认证成为了访问资源的关键环节。当客户端通过Ocelot访问下游服务时，为了确保数据安全和资源保护，下游资源服务器会执行认证鉴权。这时，我们需要在Ocelot中加入认证服务。而ASP.NET Core 3.1中的Ocelot正是为我们提供了这样的便利。

让我们先来看一下如何在Ocelot中添加认证服务。用户需要在Startup.cs中注册身份验证服务，并为每次注册提供一个方案（身份验证提供者密钥）。例如：

在ConfigureServices方法中注册身份验证服务如下：

```csharp

public void ConfigureServices(IServiceCollection services)

{

var authenticationProviderKey = "TestKey"; // 身份验证提供者密钥

services.AddAuthentication() // 添加认证服务

.AddJwtBearer(authenticationProviderKey, configuration =>

{

// 配置JWT Bearer认证的相关信息

});

}

```

在上面的代码中，“TestKey”就是我们注册的身份验证提供者的方案。然后，将这个方案映射到网关项目的Routes路由中。例如：

```json

{

"Routes": [

{

// 其他路由配置...

"AuthenticationOptions": { // 身份验证选项配置

"AuthenticationProviderKey": "TestKey", // 使用之前注册的认证提供者密钥

"AllowedScopes": [] // 可选的允许范围列表，可以根据需要配置具体的scope权限范围

}

}

]

}

```当Ocelot运行时，它会查看Routes中的AuthenticationOptions部分，并检查是否存在使用给定密钥注册的身份验证提供程序。如果存在，Ocelot将在执行身份验证中间件时调用该提供程序。如果请求未通过身份验证，Ocelot将返回HTTP状态代码401。确保正确地配置身份验证提供者的密钥是非常重要的。还可以根据需要配置其他的认证选项和权限范围来满足特定的业务需求。接下来，我们来一下JWT Tokens Bearer认证。JWT（Json Web Token）是一种基于JSON的开放标准，用于在网络应用环境间传递声明。它特别适用于单点登录（SSO）场景和其他分布式站点场景。JWT通常包含三个部分：Header头、Payload有效载荷和Signature签名。这三部分共同构成了JWT令牌的结构。Header头通常由令牌的类型和使用的签名算法组成。Payload有效载荷是一个包含实际传递数据的JSON对象。在JWT中，可以使用官方规定的字段来传递特定的信息。通过正确配置和使用JWT令牌，我们可以实现安全地在不同服务间传递用户身份信息和业务逻辑声明。ASP.NET Core 3.1中的Ocelot为我们提供了强大的认证功能，通过简单的配置和使用，我们可以轻松实现服务的认证鉴权，确保数据的安全传输和访问控制。无论你是初学者还是经验丰富的开发者，掌握Ocelot的认证功能都是非常重要的，它将为你的项目带来更高的安全性和可靠性。希望这篇文章能为你带来有价值的学习体验和工作中的帮助！介绍JWT（JSON Web Token）及其在项目中的应用

在数字化时代，信息安全显得尤为重要。JWT（JSON Web Tokens）作为一种开放标准，为我们提供了一种有效的身份验证和数据传输方式。本文将深入JWT的构成及其在项目中的应用。

一、JWT的基本构成

JWT由三部分组成：Header（头部）、Payload（负载）和Signature（签名）。每一部分都有其独特的用途。

1. Header（头部）: 包含两部分，令牌的类型和所使用的加密算法。例如：“alg”表示签名算法，通常为HMAC或RSA等。这些信息进行Base64编码后，形成JWT的第一部分。

2. Payload（负载）: 存放需要传递的数据。JWT标准中预定义了一些字段，如：iss（签发人）、exp（过期时间）、sub（主题）等。你还可以在此定义私有字段。但需要注意的是，由于JWT默认不加密，不应在此部分存放敏感信息。

3. Signature（签名）: 为了确保JWT的安全性，我们需要对其进行签名。签名过程结合头部、负载和密钥（secret），使用指定的算法（如HMAC SHA256）进行加密。签名用于验证消息在传输过程中是否被篡改，以及验证JWT的发件人身份。

二、JWT在项目中的应用

在现代项目中，尤其是API项目，JWT常被用于身份验证和授权。以下是一个简单的应用流程：

1. 用户登录: 用户输入用户名和密码，系统进行验证。

2. 生成JWT: 验证成功后，系统生成一个JWT并返回给用户。这个令牌包含了用户的信息和权限等。

3. 使用JWT: 用户持有此令牌，可以在后续的请求中验证其身份和权限。每个收到请求的服务都会并验证JWT，确保只有授权的用户才能访问特定的资源。

三、项目演示——APIGateway项目

在APIGateway项目中，我们启用身份认证来保护下游API服务。这里使用的是JwtBearer认证，将默认的身份验证方案设置为TestKey。这意味着，只有持有有效且经过验证的JWT的用户才能访问特定的API资源。

四、注意事项

1. 不要在负载部分存放敏感信息。

2. 保护好你的密钥，不要泄露给用户。

3. 使用https等安全协议进行数据传输，确保JWT在传输过程中的安全性。

4. 选择合适的签名和加密算法，确保JWT的安全性和可靠性。

JWT作为一种开放标准，为我们提供了安全、高效的数据传输方式。在项目中合理应用JWT，可以大大提高系统的安全性和用户体验。在配置认证过程中，`appsettings.json`文件扮演着至关重要的角色。在这个文件中，我们配置了关于认证密钥（Secret）和受众（Aud）的重要信息。这些信息对于应用程序的身份验证过程至关重要。

让我们来看一下在`appsettings.json`文件中的配置。在这个文件中，我们有一个名为“Audience”的部分，其中包括了Secret、Iss和Aud等关键信息。Secret是安全密钥，用于验证token的签名；Iss代表token的签发者；Aud代表token的受众。这些信息对于验证传入的JWT token是否有效至关重要。

接下来，我们需要在Startup类中的`ConfigureServices`方法中配置身份认证服务。我们从配置中获取Secret和Aud信息，并使用这些信息创建一个`SymmetricSecurityKey`对象和一个`TokenValidationParameters`对象。这些对象用于配置JWT token的验证过程。

在创建服务时，我们使用这些信息来配置JwtBearer认证方案。通过添加`.AddJwtBearer("TestKey", ...)`来配置JwtBearer中间件，并使用之前创建的`TokenValidationParameters`对象来指定token验证的参数。这样，我们就可以在应用程序中使用这个认证方案来验证传入的JWT token。

我们还添加了Ocelot网关服务，这是一个用于API网关的开源项目。在配置Ocelot时，我们也包含了Secret秘钥、Iss签发人和Aud受众的信息。这样，Ocelot就可以根据这些信息来验证通过网关传入的请求。

在`Configure`方法中，我们使用了`.UseAuthentication()`来启用身份验证中间件，并使用`.UseOcelot()`来启用Ocelot中间件。这样，我们的应用程序就可以使用这些中间件来处理身份验证和API路由。

关于Identity Server承载JWT Token的部分，Identity Server是一个开源的身份和访问管理解决方案，用于实现OAuth 2.0和OpenID Connect协议。在配置IdentityServer时，我们需要像往常一样在`ConfigureServices`中使用方案（密钥）注册IdentityServer服务。如果您不熟悉如何操作，建议您查阅IdentityServer的官方文档以获取更详细的指导。通过正确配置Identity Server，我们可以确保应用程序中的身份验证过程能够安全、有效地进行。在IdentityServer的世界里，配置服务是至关重要的步骤，它确保了应用程序的安全性和稳定性。以下是关于如何配置服务的生动描述，同时保持原文风格特点。

想象一下，我们正在构建一个应用程序，它需要在安全性和功能性之间找到完美的平衡。这时，`ConfigureServices`方法就像是我们掌控这个平衡的舞台。在这个舞台上，我们不仅要确保服务能够顺畅运行，还要确保它们受到适当的保护。让我们开始配置之旅吧！

```csharp

public void ConfigureServices(IServiceCollection services)

{

// 定义身份验证提供者密钥

var authenticationProviderKey = "TestKey";

// 构建身份认证选项的动作委托，为IdentityServer配置相关参数

Action optionsBuilder = o =>

{

// 设置IdentityServer的权威地址，这里是你的身份服务器居住之所

o.Authority = "

// 设置API名称，用于标识是哪个API正在请求身份验证

o.ApiName = "api";

// 支持的令牌类型，这里同时支持引用令牌和访问令牌

o.SupportedTokens = SupportedTokens.Both;

// 设置API的密钥，用于身份验证过程中的安全通信

o.ApiSecret = "secret";

};

// 添加身份验证服务并指定我们刚刚定义的选项

services.AddAuthentication()

.AddIdentityServerAuthentication(authenticationProviderKey, optionsBuilder);

// 添加Ocelot服务进行API网关管理，确保API的安全和性能优化等任务得以执行。这是现代微服务架构的关键组件之一。

services.AddOcelot();

}

``` 接下来是IdentityServer中配置的一部分说明。在IdentityServer的世界里，Authority参数就像一张地图上的目的地标识，指向你的OpenID Connect（OIDC）服务的地址。神奇的是，OIDC可以自动发现Issuer、IssuerSigningKey等配置信息。而关于Audience的配置与TokenValidationParameters中的ValidAudience设置是等效的。它们共同构成了应用程序安全性的基石。通过这种方式，我们可以确保只有经过身份验证的用户才能访问我们的服务，从而保护我们的应用程序和数据免受未经授权的访问。这就是我们在配置服务时如何确保安全性和功能性的平衡。AuthServer项目

此服务作为客户端请求资源服务器时的认证中心，负责生成客户端所需的JWT Token。以下是关键代码及其解释。

[Route("api/[controller]")]

public class AuthController : Controller

{

private readonly IOptions _settings; //使用AudienceSettings作为配置选项类型，更准确地描述用途

public AuthController(IOptions settings) //注入配置选项

{

_settings = settings;

}

///

/// 用户使用用户名和密码请求服务器认证。服务器验证用户信息后发放一个token给客户端。

/// 客户端存储此token并在每次请求时附带，格式为：headers {'Authorization': 'Bearer ' + token}。

/// 服务器验证token后返回数据。

///

/// 用户名

/// 密码

/// 认证结果

[HttpGet]

public IActionResult Get(string name, string pwd)

{

//验证用户登录信息

if (name == "catcher" && pwd == "123") //此处应使用更安全的方式进行密码验证和存储，实际开发中应避免硬编码密码

{

var now = DateTime.UtcNow;

//创建用户相关的声明

var claims = new[] //使用数组字面量语法更清晰

{

new Claim(ClaimTypes.Name, name), //设置主题为用户名

new Claim(JwtRegisteredClaimNames.Jti, Guid.NewGuid().ToString()), //设置JWT的唯一标识符

new Claim(JwtRegisteredClaimNames.Iat, now.ToUniversalTime().ToString(), ClaimValueTypes.Integer64) //设置JWT的签发时间戳

};

//使用Microsoft.IdentityModel.Tokens库创建JWT Token

var tokenDescriptor = new TokenDescriptor //定义一个Token描述对象，用于配置Token的各种属性

{

Subject = new System.Security.Claims.ClaimsIdentity(claims), //设置Token的主题为之前创建的声明集合

Expires = now.Add(TimeSpan.FromMinutes(2)), //设置Token的过期时间

SigningCredentials = new SigningCredentials //设置签名凭证，包括安全密钥和签名算法

{

Key = new SymmetricSecurityKey(_settings.Value.Secret), //使用配置的安全密钥进行签名验证和生成Token

Algorithm = SecurityAlgorithms.HmacSha256 //指定签名算法为HmacSha256加密法。需要匹配验证端所用的算法以确保安全性和互通性。 注释②移除该行。具体改动为：将注释内容移除，并删除注释符号"//"。这样可以确保代码逻辑更加清晰和准确。请确保其他部分的代码也进行相应的修改和更新。其他部分无需改动。"标记注释部分为需要删除的内容。}" //定义Token的过期时间等属性，并指定签名算法为HmacSha256加密法。需要匹配验证端所用的算法以确保安全性和互通性。注释②移除该行。} //此处应为结束大括号和注释内容错误放置，应删除注释符号"//"，并修正代码结构。下面是修正后的代码片段：首先定义Token的过期时间等属性，然后通过设置SigningCredentials对象来指定签名凭证（包括安全密钥和签名算法）。其中，安全密钥来自配置选项中的Secret字段，签名算法为HmacSha256加密法。最后创建Token实例并生成JWT令牌（JSON Web Token）。在生成JWT令牌后，将包含令牌信息的响应对象以Json格式返回给客户端。若用户名和密码验证失败，则返回空Json对象作为响应。关于配置中的Secret和Aud信息，应在appsettings.json文件中进行配置，确保安全性和正确性。} //结束大括号和注释内容错误放置在这里不合适，应该将其修正为正确的代码结构。删除注释符号"//"，确保代码逻辑清晰和准确。下面是修正后的代码片段：首先通过读取配置文件中的Secret字段获取安全密钥，然后设置Token的其他属性（如过期时间等），最后创建Token实例并生成JWT令牌（JSON Web Token）。在生成JWT令牌后，将其以及过期时间等信息封装成一个响应对象返回给客户端。"} 注释②移除该行注释符号"//"，确保代码逻辑清晰和准确。}​的做法来优化你的代码结构并增强其可读性、可维护性和安全性。通过这种方式改进后的代码会更加健壮、易于理解和调试。

CustomerAPIServices项目 该项目与APIGateway项目类似，旨在保护下游API服务。采用JwtBearer认证方式并设置默认的身份验证方案为TestKey。该项目通过使用JwtBearer中间件来实现API的身份验证功能。通过配置中间件以接受特定的身份验证方案（如TestKey在 appsettings.json 中配置认证密钥与受众信息

在 appsettings.json 文件中，我们配置了关于身份认证的密钥（Secret）和受众（Aud）信息。内容如下：

```json

{

"AudienceConfig": {

"Secret": "Y2F0Y2hlriUyMHdvbmclMjBsb3ZlJTIwLm5ldA==",

"Issuer": "

"Audience": "Catcher Wong"

}

}

```

接下来，我们在Startup类中添加身份认证的代码。下面是具体的实现方式：

```csharp

public void ConfigureServices(IServiceCollection services)

{

// 从appsettings.json文件中获取认证配置信息

var audienceConfig = Configuration.GetSection("AudienceConfig");

// 获取安全秘钥

var signingKey = new SymmetricSecurityKey(Encoding.ASCII.GetBytes(audienceConfig["Secret"]));

// 配置Token验证参数

var tokenValidationParameters = new TokenValidationParameters

{

// 启用安全秘钥验证

ValidateIssuerSigningKey = true,

// 设置安全秘钥

IssuerSigningKey = signingKey,

// 启用签发人验证

ValidateIssuer = true,

// 设置签发人

ValidIssuer = audienceConfig["Issuer"],

// 启用受众验证

ValidateAudience = true,

// 设置受众

ValidAudience = audienceConfig["Audience"],

// 验证Token有效期

ValidateLifetime = true,

// 设置服务器时间偏移量

ClockSkew = TimeSpan.Zero,

// 要求Token的Claims中包含Expires

RequireExpirationTime = true,

};

// 添加JwtBearer认证服务，方案名为TestKey，并配置相关选项

services.AddAuthentication(options =>

{

options.DefaultAuthenticateScheme = "TestKey"; // 设置默认认证方案为TestKey

})

.AddJwtBearer("TestKey", jwtOptions =>

{

jwtOptions.RequireHttpsMetadata = false; // 不要求必须使用HTTPS获取元数据 // 在这里添加配置，指定Token的签名秘钥、颁发机构和受众等参数。通过配置这些参数，系统能够正确验证传入的Token是否合法，从而确保系统的安全性。这样，我们的应用程序就能够正确地处理身份认证，保护用户的数据安全。这些配置信息对于确保系统的安全性和稳定性至关重要。在实际部署时，我们需要确保这些配置信息的保密性，以防止潜在的安全风险。我们还需要根据实际需求进行适当的调整和优化，以确保系统的性能和用户体验。通过这些配置和设置，我们的应用程序将能够更好地处理身份认证问题，提高系统的安全性和可靠性。 jwtOptions.TokenValidationParameters = tokenValidationParameters; // 设置Token验证参数 }); }```通过以上的配置和代码实现，我们的应用程序将能够正确地处理身份认证问题，确保只有持有合法Token的用户才能访问系统资源。这将大大提高系统的安全性和稳定性，保护用户的数据安全。在实际部署时，我们还需要注意确保这些配置信息的保密性，以防止潜在的安全风险。根据实际需求进行适当的调整和优化也是必要的，以确保系统的性能和用户体验。在构建ASP.NET Core应用的过程中，验证与授权成为了关键步骤。在这个项目中，你正确地使用了ASP.NET Core的身份验证特性来保护某些API端点。接下来，让我们一起并生动描述这个应用的配置与操作过程。

《ASP.NET Core 3.1中Ocelot的JWT Token认证实现》

通过GetJwt方法在AuthServer服务上进行登录认证，获取到授权Token后，我们再访问资源服务器接口，立刻就能得到处理结果。与此相比，未经认证的

参考文献：

本文关于ASP.NET Core 3.1中Ocelot认证的实现就介绍到这里。如想深入了解ASP.NET Core 3.1 Ocelot认证的相关内容，欢迎搜索狼蚁SEO的以往文章或继续浏览狼蚁网站的SEO优化相关文章。希望大家能够继续关注并支持狼蚁SEO，共同学习进步！