identity server 注册（IdentityServer4与ocelot实现认证与客户端统一入口）

大地的见证 2022-11-29 01:56:20

关于IdentityServer4与ocelot博客园里已经有很多介绍我这里就不再重复了。

ocelot与IdentityServer4组合认证博客园里也有很多，但大多使用ocelot内置的认证，而且大多都是用来认证API的，查找了很多资料也没看到如何认证oidc，所以这里的ocelot实际只是作为统一入口而不参与认证，认证的完成依然在客户端。代码是使用IdentityServer4的Quickstart5_HybridAndApi 示例修改的。项目结构如下

identity server 注册（IdentityServer4与ocelot实现认证与客户端统一入口）(1)

一 ocelot网关

我们先在示例添加一个网关。

修改launchSettings.json中的端口为54660

identity server 注册（IdentityServer4与ocelot实现认证与客户端统一入口）(2)

identity server 注册（IdentityServer4与ocelot实现认证与客户端统一入口）(3)

"NanoFabricApplication": { "commandName": "Project", "launchBrowser": true, "applicationUrl": "http://localhost:54660", "environmentVariables": { "ASPNETCORE_ENVIRONMENT": "Development" } }

identity server 注册（IdentityServer4与ocelot实现认证与客户端统一入口）(4)

配置文件如下

identity server 注册（IdentityServer4与ocelot实现认证与客户端统一入口）(5)

View Code

这里我们定义3个下游服务，MvcClient，MyApi，IdentityServer，并使用路由特性把signin-oidc，signout-callback-oidc导航到MvcClient，由MvcClient负责生成最后的Cooike。并将默认路由指定到IdentityServer服务。

在ConfigureServices中添加Ocelot服务。

identity server 注册（IdentityServer4与ocelot实现认证与客户端统一入口）(6)

services.AddOcelot() .AddCacheManager(x => { x.WithDictionaryHandle(); }) .AddPolly()

identity server 注册（IdentityServer4与ocelot实现认证与客户端统一入口）(7)

在Configure中使用Ocelot中间件

app.UseOcelot().Wait();

Ocelot网关就部署完成了。

二修改QuickstartIdentityServer配置

首先依然是修改launchSettings.json中的端口为50875

在ConfigureServices中修改AddIdentityServer配置中的PublicOrigin和IssuerUri的Url为http://localhost:54660/IdentityServer/

identity server 注册（IdentityServer4与ocelot实现认证与客户端统一入口）(8)

services.AddIdentityServer(Option => { Option.PublicOrigin = "http://localhost:54660/IdentityServer/"; Option.IssuerUri = "http://localhost:54660/IdentityServer/"; }) .AddDeveloperSigningCredential() .AddInMemoryIdentityResources(Config.GetIdentityResources()) .AddInMemoryApiResources(Config.GetApiResources()) .AddInMemoryClients(Config.GetClients()) .AddTestUsers(Config.GetUsers());

identity server 注册（IdentityServer4与ocelot实现认证与客户端统一入口）(9)

这样一来发现文档中的IdentityServer地址就变为网关的地址了，进一步实现IdentityServer的负载均衡也是没有问题的。

修改Config.cs中mvc客户端配置如下

identity server 注册（IdentityServer4与ocelot实现认证与客户端统一入口）(10)

ClientId = "mvc", ClientName = "MVC Client", AllowedGrantTypes = GrantTypes.HybridAndClientCredentials, ClientSecrets = { new Secret("secret".Sha256()) }, // AccessTokenType = AccessTokenType.Reference, RequireConsent = true, RedirectUris = { "http://localhost:54660/signin-oidc" }, PostLogoutRedirectUris = { "http://localhost:54660/signout-callback-oidc" }, AllowedScopes = { IdentityServerConstants.StandardScopes.OpenId, IdentityServerConstants.StandardScopes.Profile, "api1" }, AllowOfflineAccess = true, //直接返回客户端需要的Claims AlwaysIncludeUserClaimsInIdToken = true,

identity server 注册（IdentityServer4与ocelot实现认证与客户端统一入口）(11)

主要修改RedirectUris和PostLogoutRedirectUris为网关地址，在网关也设置了signin-oidc和signout-callback-oidc转发请求到Mvc客户端。

三修改MvcClient

修改MvcClient的launchSettings.json端口为50891。

修改MvcClient的Authority地址为http://localhost:54660/IdentityServer和默认路由地址MvcClient/{controller=Home}/{action=index}/{id?}

identity server 注册（IdentityServer4与ocelot实现认证与客户端统一入口）(12)

View Code

identity server 注册（IdentityServer4与ocelot实现认证与客户端统一入口）(13)

View Code

修改HomeController，将相关地址修改为网关地址

identity server 注册（IdentityServer4与ocelot实现认证与客户端统一入口）(14)

View Code

四修改Api项目

Api项目修改多一点。

将MvcClient的HomeController和相关视图复制过来，模拟MVC与API同时存在的项目。

修改Api的launchSettings.json端口为50890。

修改Startup

identity server 注册（IdentityServer4与ocelot实现认证与客户端统一入口）(15)

View Code

主要添加了oidc认证配置和配置验证策略来同时支持oidc认证和Bearer认证。

修改IdentityController中的[Authorize]特性为[Authorize(Policy = "ApiPolicy")]

依次使用调试-开始执行(不调试)并选择项目名称启动QuickstartIdentityServer，Gateway，MvcClient，Api，启动方式如图

identity server 注册（IdentityServer4与ocelot实现认证与客户端统一入口）(16)

应该可以看到Gateway启动后直接显示了IdentityServer的默认首页

identity server 注册（IdentityServer4与ocelot实现认证与客户端统一入口）(17)

在浏览器输入http://localhost:54660/MVCClient/Home/index进入MVCClient

identity server 注册（IdentityServer4与ocelot实现认证与客户端统一入口）(18)

点击Secure进入需要授权的页面，这时候会跳转到登陆页面（才怪

identity server 注册（IdentityServer4与ocelot实现认证与客户端统一入口）(19)

实际上我们会遇到一个错误，这是因为ocelot做网关时下游服务获取到的Host实际为localhost:50891，而在IdentityServer中设置的RedirectUris为网关的54660，我们可以通过ocelot转发X-Forwarded-Host头，并在客户端通过UseForwardedHeaders中间件来获取头。但是UseForwardedHeaders中间件为了防止IP欺骗攻击需要设置KnownNetworks和KnownProxies以实现严格匹配。当然也可以通过清空KnownNetworks和KnownProxies的默认值来不执行严格匹配，这样一来就有可能受到攻击。所以这里我直接使用硬编码的方式设置Host，实际使用时应从配置文件获取，同时修改MvcClient和Api相关代码

identity server 注册（IdentityServer4与ocelot实现认证与客户端统一入口）(20)

app.Use(async (context, next) => { context.Request.Host = HostString.FromUriComponent(new Uri("http://localhost:54660/")); await next.Invoke(); }); //var options = new ForwardedHeadersOptions //{ // ForwardedHeaders = ForwardedHeaders.XForwardedFor | ForwardedHeaders.XForwardedProto | ForwardedHeaders.XForwardedHost, // ForwardLimit = 1 //}; //options.KnownNetworks.Clear(); //options.KnownProxies.Clear(); //app.UseForwardedHeaders(options);

identity server 注册（IdentityServer4与ocelot实现认证与客户端统一入口）(21)

在反向代理情况下通过转发X-Forwarded-Host头来获取Host地址应该时常见设置不知道还有没有其他更好的解决办法。

再次启动MVCClient并输入http://localhost:54660/MvcClient/Home/Secure。

identity server 注册（IdentityServer4与ocelot实现认证与客户端统一入口）(22)