.NET Core + Ocelot + IdentityServer4 + Consul 基础架构实现-低调大师

.NET Core + Ocelot + IdentityServer4 + Consul 基础架构实现

2019-02-25 589

.NET Core + Ocelot + IdentityServer4 + Consul 基础架构实现

先决条件

关于 Ocelot
- 针对使用 .NET 开发微服务架构或者面向服务架构提供一个统一访问系统的组件。参考
- 本文将使用 Ocelot 构建统一入口的 Gateway。
关于 IdentityServer4
- IdentityServer4 是一个 OpenID Connect 和 OAuth 2.0 框架用于 ASP.NET Core 。IdentityServer4 在你的应用程序中集成了基于令牌认证、单点登录、API访问控制所需的所有协议和扩展点。参考
- 本文将使用 IdentityServer4 搭建独立认证服务器。
关于 Consul
- Consul 是一个服务网格解决方案，通过服务发现、配置、功能分割提供一个全功能的控制层。这些功能可以单独使用，也可以同时使用以形成一个完整的网格服务。参考
- 本文将使用 Consul 注册多个服务。
关于 .Net Core
- 将使用 WebApi 构建多个服务

构建 IdentityServer 服务

添加 ASP.Net Core Web 项目
添加空项目
在程序包管理控制台中输入：Install-Package IdentityServer4.AspNetIdentity

添加 Config.cs 文件，并添加内容如下：

 using System.Collections.Generic;
 using IdentityServer4.Models;
 using IdentityServer4.Test;

 namespace IdentityServer
 {
     public sealed class Config
     {
         public static IEnumerable<ApiResource> GetApiResources()
         {
             return new List<ApiResource>
             {
                 new ApiResource("ServiceA", "ServiceA API"),
                 new ApiResource("ServiceB", "ServiceB API")
             };
         }

         public static IEnumerable<Client> GetClients()
         {
             return new List<Client>
             {
                 new Client
                 {
                     ClientId = "ServiceAClient",
                     AllowedGrantTypes = GrantTypes.ResourceOwnerPassword,
                     ClientSecrets =
                     {
                         new Secret("ServiceAClient".Sha256())
                     },
                     AllowedScopes = new List<string> {"ServiceA"},
                     AccessTokenLifetime = 60 * 60 * 1
                 },
                 new Client
                 {
                     ClientId = "ServiceBClient",
                     AllowedGrantTypes = GrantTypes.ResourceOwnerPassword,
                     ClientSecrets =
                     {
                         new Secret("ServiceBClient".Sha256())
                     },
                     AllowedScopes = new List<string> {"ServiceB"},
                     AccessTokenLifetime = 60 * 60 * 1
                 }
             };
         }

         public static List<TestUser> GetUsers()
         {
             return new List<TestUser>
             {
                 new TestUser
                 {
                     Username = "test",
                     Password = "123456",
                     SubjectId = "1"
                 }
             };
         }

         public static IEnumerable<IdentityResource> GetIdentityResources()
         {
             return new List<IdentityResource>();
         }
     }
 }

注意：这里添加了两个 Client ，分别为 ServiceA、ServiceB ，因此接下来将构建这两个服务。

删掉StartUp.cs文件，在Program.cs中添加内容如下：

 using Microsoft.AspNetCore;
 using Microsoft.AspNetCore.Builder;
 using Microsoft.AspNetCore.Hosting;
 using Microsoft.AspNetCore.Mvc;
 using Microsoft.Extensions.DependencyInjection;

 namespace IdentityServer
 {
     public class Program
     {
         public static void Main(string[] args)
         {
             CreateWebHostBuilder(args).Build().Run();
         }

         public static IWebHostBuilder CreateWebHostBuilder(string[] args)
         {
             return WebHost.CreateDefaultBuilder(args).ConfigureServices(services =>
             {
                 services.AddMvc().SetCompatibilityVersion(CompatibilityVersion.Version_2_2);

                 services.AddIdentityServer()
                     .AddDeveloperSigningCredential()
                     .AddInMemoryIdentityResources(Config.GetIdentityResources())
                     .AddInMemoryApiResources(Config.GetApiResources())
                     .AddInMemoryClients(Config.GetClients())
                     .AddTestUsers(Config.GetUsers());
             }).Configure(app =>
             {
                 app.UseIdentityServer();
             });
         }
     }
 }

注意：AddDeveloperSigningCredential() 方法用于添加开发时使用的 Key material ，生产环境中不要使用该方法。在 .NET Core 2.2 中新建的 Web 项目文件 csproj 中包含了如下内容：
csharp <PropertyGroup> <TargetFramework>netcoreapp2.2</TargetFramework> <AspNetCoreHostingModel>InProcess</AspNetCoreHostingModel> </PropertyGroup>
这里更改
csharp <AspNetCoreHostingModel>InProcess</AspNetCoreHostingModel>
为或直接删除该行，这么做的原因是当值为 InProcess 时，读写 tempkey.rsa 将产生权限问题。关于 AspNetCoreHostingModel 可参考 ASP.NET Core Module 。
csharp <AspNetCoreHostingModel>OutOfProcess</AspNetCoreHostingModel>

F5 启动该服务，显示如下：

在浏览器中输入 http://localhost:38033/.well-known/openid-configuration ，得到以下内容

至此，一个包含两个服务认证的认证服务搭建完毕。

构建 ServiceA、ServiceB

添加 ASP.Net Core Web 项目，这里以 ServiceA 为例进行构建
添加 ASP.Net Core API

在 StartUp.cs 中添加内容如下：

 using Microsoft.AspNetCore.Builder;
 using Microsoft.AspNetCore.Hosting;
 using Microsoft.AspNetCore.Mvc;
 using Microsoft.Extensions.Configuration;
 using Microsoft.Extensions.DependencyInjection;

 namespace ServiceA
 {
     public class Startup
     {
         public Startup(IConfiguration configuration)
         {
             Configuration = configuration;
         }

         public IConfiguration Configuration { get; }

         // This method gets called by the runtime. Use this method to add services to the container.
         public void ConfigureServices(IServiceCollection services)
         {
             services.AddMvc().SetCompatibilityVersion(CompatibilityVersion.Version_2_2);

             services.AddAuthentication("Bearer")
                 .AddJwtBearer("Bearer", options =>
                 {
                     options.Authority = "http://127.0.0.1:8021";
                     options.RequireHttpsMetadata = false;
                     options.Audience = "ServiceA";
                 });
         }

         // This method gets called by the runtime. Use this method to configure the HTTP request pipeline.
         public void Configure(IApplicationBuilder app, IHostingEnvironment env)
         {
             if (env.IsDevelopment())
             {
                 app.UseDeveloperExceptionPage();
             }
             app.UseAuthentication();
             app.UseMvc();
         }
     }
 }

添加 SessionController 用于用户登录，内容如下：

 using System.ComponentModel.DataAnnotations;
 using System.Net.Http;
 using System.Threading.Tasks;
 using IdentityModel.Client;
 using Microsoft.AspNetCore.Mvc;

 namespace ServiceA.Controllers
 {
     [Route("api/[controller]")]
     [ApiController]
     public class SessionController : ControllerBase
     {
         public async Task<string> Login(UserRequestModel userRequestModel)
         {
             // discover endpoints from metadata
             var client = new HttpClient();
             DiscoveryResponse disco = await client.GetDiscoveryDocumentAsync("http://127.0.0.1:8021");
             if (disco.IsError)
             {
                 return "认证服务器未启动";
             }
             TokenResponse tokenResponse = await client.RequestPasswordTokenAsync(new PasswordTokenRequest
             {
                 Address = disco.TokenEndpoint,
                 ClientId = "ServiceAClient",
                 ClientSecret = "ServiceAClient",
                 UserName = userRequestModel.Name,
                 Password = userRequestModel.Password
             });

             return tokenResponse.IsError ? tokenResponse.Error : tokenResponse.AccessToken;
         }
     }

     public class UserRequestModel
     {
         [Required(ErrorMessage = "用户名称不可以为空")]
         public string Name { get; set; }

         [Required(ErrorMessage = "用户密码不可以为空")]
         public string Password { get; set; }
     }
 }

添加 HealthController 用于 Consul 进行服务健康检查，内容如下：

 using Microsoft.AspNetCore.Mvc;

 namespace ServiceA.Controllers
 {
     [Route("api/[controller]"), ApiController]
     public class HealthController : ControllerBase
     {
         /// <summary>
         /// 健康检查
         /// </summary>
         /// <returns></returns>
         [HttpGet]
         public IActionResult Get()
         {
             return Ok();
         }
     }
 }

更改 ValuesController.cs 内容如下：

 using System.Collections.Generic;
 using Microsoft.AspNetCore.Authorization;
 using Microsoft.AspNetCore.Mvc;

 namespace ServiceA.Controllers
 {
     [Authorize] //添加 Authorize Attribute 以使该控制器启用认证
     [Route("api/[controller]")]
     [ApiController]
     public class ValuesController : ControllerBase
     {
         // GET api/values
         [HttpGet]
         public ActionResult<IEnumerable<string>> Get()
         {
             return new[] { "value1", "value2" };
         }
     }
 }

注意，以上基本完成了 ServiceA 的服务构建，但在实际应用中应做一些修改，例如：IdentityServer 地址应在 appsettings.json 中进行配置，不应把地址分散于项目中各处；认证服务启用最好在全局启用，以防止漏写等等。ServiceB 的内容与 ServiceA 大致相似，因此文章中将不再展示 ServiceB 的构建过程。

Gateway 构建

添加ASP.Net Web
添加空项目
打开程序包管理器控制台输入命令：
csharp install-package Ocelot //添加 Ocelot
csharp install-package Ocelot.Provider.Consul // 添加 Consul 服务发现

添加 ocelot.json 文件，内容如下

 {
 "ReRoutes": [
     {
     "DownstreamPathTemplate": "/api/{everything}",
     "DownstreamScheme": "http",
     "UpstreamPathTemplate": "/ServiceA/{everything}",
     "UpstreamHttpMethod": [ "GET", "POST", "DELETE", "PUT" ],
     "ServiceName": "ServiceA", //consul 服务中 ServiceA 的名称
     "LoadBalancerOptions": {
         "Type": "LeastConnection"
     }
     },
     {
     "DownstreamPathTemplate": "/api/{everything}",
     "DownstreamScheme": "http",
     "UpstreamPathTemplate": "/ServiceB/{everything}",
     "UpstreamHttpMethod": [ "GET", "POST", "DELETE", "PUT" ],
     "ServiceName": "ServiceB", //consul 服务中 ServiceB 的名称
     "LoadBalancerOptions": {
         "Type": "LeastConnection"
     }
     }
 ],
 "GlobalConfiguration": {
     "ServiceDiscoveryProvider": {    // Consul 服务发现配置
     "Host": "localhost",    // Consul 地址
     "Port": 8500,
     "Type": "Consul"
     }
 }
 }

删除 StartUp.cs 文件，在 Program.cs 文件中添加如下内容

 using System.IO;
 using Microsoft.AspNetCore.Hosting;
 using Microsoft.Extensions.Configuration;
 using Ocelot.DependencyInjection;
 using Ocelot.Middleware;
 using Ocelot.Provider.Consul;

 namespace ApiGateway
 {
     public class Program
     {
         public static void Main(string[] args)
         {
             new WebHostBuilder()
                 .UseKestrel()
                 .UseContentRoot(Directory.GetCurrentDirectory())
                 .ConfigureAppConfiguration((hostingContext, config) =>
                 {
                     config
                         .SetBasePath(hostingContext.HostingEnvironment.ContentRootPath)
                         .AddJsonFile("appsettings.json", true, true)
                         .AddJsonFile($"appsettings.{hostingContext.HostingEnvironment.EnvironmentName}.json", true, true)
                         .AddJsonFile("ocelot.json")
                         .AddEnvironmentVariables();
                 })
                 .ConfigureServices(services =>
                 {
                     services.AddOcelot().AddConsul();
                 })
                 .ConfigureLogging((hostingContext, logging) =>
                 {
                     //add your logging
                 })
                 .UseIISIntegration()
                 .Configure(app =>
                 {
                     app.UseOcelot().Wait();
                 })
                 .Build()
                 .Run();
         }
     }
 }

注意：打开 Gateway.csproj 文件，更改

<PropertyGroup>
    <TargetFramework>netcoreapp2.2</TargetFramework>
    <AspNetCoreHostingModel>InProcess</AspNetCoreHostingModel>
</PropertyGroup>

为

<PropertyGroup>
    <TargetFramework>netcoreapp2.2</TargetFramework>
    <AspNetCoreHostingModel>OutOfProcess</AspNetCoreHostingModel>
</PropertyGroup>

至此，一个基础网关基本构建完成。

构建 Consul 服务

使用 Chocoletey 安装 Consul，
```
choco install consul
```
新建一个文件夹以保存 Consul 服务配置

在 consul.d 文件夹中添加配置文件，内容如下:

    {
        "services": [{
                "ID": "ServiceA",
                "Name": "ServiceA",
                "Tags": [
                    "ServiceAWebApi", "Api"
                ],
                "Address": "127.0.0.1",
                "Port": 8010,
                "Check": {
                    "HTTP": "http://127.0.0.1:8010/Api/health",
                    "Interval": "10s"
                }
            }, {
                "id": "ServiceB",
                "name": "ServiceB",
                "tags": [
                    "ServiceBWebApi","Api"
                ],
                "Address": "127.0.0.1",
                "Port": 8011,
                "Check": [{
                        "HTTP": "http://127.0.0.1:8011/Api/health",
                        "Interval": "10s"
                    }
                ]
            }
        ]
    }

启动 consul 服务
```
consul agent -dev -config-dir=./consul.d
```
启动后在浏览器中输入 http://localhost:8500/ui/ 以查看Consul服务

Postman 验证

F5 启动 Gateway 项目，启动 Postman 发送请求到 ServiceA 获取 Token。
使用 Token 请求 ServiceA Values 接口
当尝试使用 ServiceA 获取到的 Token 去获取 ServiceB 的数据时，请求也如意料之中返回 401

总结

至此，一个由 .NET Core、IdentityServer4、Ocelot、Consul实现的基础架构搭建完毕。源码地址

原文地址https://www.cnblogs.com/Zhang-Xiang/p/10437488.html

微信关注我们

原文链接：https://yq.aliyun.com/articles/691478

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

【NET CORE微服务一条龙应用】第三章认证授权与动态权限配置

【NET CORE微服务一条龙应用】第三章认证授权与动态权限配置介绍系列目录：【NET CORE微服务一条龙应用】开始篇与目录在微服务的应用中，统一的认证授权是必不可少的组件，本文将介绍微服务中网关和子服务如何使用统一的权限认证主要介绍内容为： 1、子服务如何实现和网关相同的鉴权方式 2、接口权限如何动态配置与修改 3、前后端分离模式下通用的后台管理系统(用户、权限、菜单、平台) 需提前了解知识点： 1、Jwt （JSON Web Token） 2、ClaimsPrincipal 3、Microsoft.AspNetCore.Authorization、AuthorizationPolicy、AuthorizationHandler 子服务和网关鉴权方式首先我们需要了解一下Ocelot网关权限的使用方式，直接上代码配置 "AuthenticationOptions": { "AuthenticationProviderKey": "TestKey", "AllowedScopes": ["admin","user"] } 认证 var result = await con...

2019-02-26

567

日前，市场咨询机构计世资讯(CCW Research)发布《2018-2019年中国视频云服务市场发展报告》。热点热议中国视频云市场格局已定，阿里云成第一大厂商作者：阿里云头条阿里云MWC 2019发布7款重磅产品，助力全球企业迈向智能化作者：阿里云头条深度学习要多深，才能读懂人话？｜阿里小蜜前沿探索作者：技术小能手发表在：阿里技术知识整理 Spring AOP(三) Advisor类架构作者：carpediem123 发表在：Java技术进阶整理一些计算机基础知识！作者：python小能手发表在：python技术进阶 CVPR阿里优秀论文 | 基于时间尺度选择的在线行为预测作者：技术小能手发表在：阿里技术 ACM MM 论文 | 基于风格化对抗自编码器的图像生成算法作者：技术小能手发表在：阿里技术 CVPR论文 | 如何处理多种退化类型的卷积超分辨率？作者：技术小能手发表在：阿里技术美文回顾 .NET Core + Ocelot + IdentityServer4 + Consul 基础架构实现作者：幸运码发放 CSS学习笔记之position属性作...

2019-02-26

630

资源下载

更多资源

优质分享App

近一个月的开发和优化，本站点的第一个app全新上线。该app采用极致压缩，本体才4.36MB。系统里面做了大量数据访问、缓存优化。方便用户在手机上查看文章。后续会推出HarmonyOS的适配版本。

Nacos

Nacos /nɑ:kəʊs/ 是 Dynamic Naming and Configuration Service 的首字母简称，一个易于构建 AI Agent 应用的动态服务发现、配置管理和AI智能体管理平台。Nacos 致力于帮助您发现、配置和管理微服务及AI智能体应用。Nacos 提供了一组简单易用的特性集，帮助您快速实现动态服务发现、服务配置、服务元数据、流量管理。Nacos 帮助您更敏捷和容易地构建、交付和管理微服务平台。

Rocky Linux

Rocky Linux（中文名：洛基）是由Gregory Kurtzer于2020年12月发起的企业级Linux发行版，作为CentOS稳定版停止维护后与RHEL（Red Hat Enterprise Linux）完全兼容的开源替代方案，由社区拥有并管理，支持x86_64、aarch64等架构。其通过重新编译RHEL源代码提供长期稳定性，采用模块化包装和SELinux安全架构，默认包含GNOME桌面环境及XFS文件系统，支持十年生命周期更新。

Sublime Text

Sublime Text具有漂亮的用户界面和强大的功能，例如代码缩略图，Python的插件，代码段等。还可自定义键绑定，菜单和工具栏。Sublime Text 的主要功能包括：拼写检查，书签，完整的 Python API ， Goto 功能，即时项目切换，多选择，多窗口等等。Sublime Text 是一个跨平台的编辑器，同时支持Windows、Linux、Mac OS X等操作系统。