asp.net core 自定義認證方式--請求頭認證

asp.net core 自定義認證方式--請求頭認證

Intro

最近開始真正的實踐了一些網關的東西,最近寫幾篇文章分享一下我的實踐以及遇到的問題瞎疼。

本文主要介紹網關后面的服務如何進行認證。

解決思路

網關可以做一部分的認證和授權丑慎,服務內部有時候也會需要用戶的信息瓤摧,這時該怎么辦呢,我們使用的是 JWT 認證照弥,有一個 identity server去頒發(fā),驗證 token这揣,一種簡單方式可以把 token 直接往后傳,傳遞給后面的具體某個服務影斑,后面的服務可以去 identity server 拿到公鑰信息去驗證 token 的合法性,依然可以拿到用戶的一些基本信息矫户,但又覺得這樣后面的服務還是要依賴 identityserver 不是太好,因為認證已經在網關做掉了皆辽,后面不應該再去做認證的事情了,而且解析 JWT token 也是有一定的性能損耗驱闷,于是想把用戶的基本信息在網關認證完成之后放到請求頭中。

我們網關用的Ocelot空另,開源的原生 .NET 項目方便自己擴展,Ocelot 中有一個 Claims2Headers 可以把 Claims 中的信息轉換為請求頭扼菠,詳細使用參見文檔,但是實現(xiàn)有個bug娇豫,如果有多個值他只會取第一個匙姜,詳見issue冯痢,可以自己擴展一個 ocelot 的中間件替換掉原有的中間件。

把用戶信息放到請求頭中浦楣,后面的服務從請求頭中就可以拿到用戶的基本信息了袖肥,為了后面的服務不做過多的改動振劳,我做了一個自定義的認證,從請求頭中拿用戶的基本信息進行認證历恐,這樣后面的服務還是可以直接使用 User.Identity.IsAuthenticatedUser.Identity.Name 等专筷,不需要做什么改動。于是就有了這一根據(jù)請求頭認證的項目

實現(xiàn)效果

下載示例項目蒸苇,在 TestWebApplication 目錄下運行 dotnet run

在瀏覽器中訪問 http://localhost:5000/api/values

使用 postman 或 fiddler (或其它你喜歡的工具)帶上 header 訪問 http://localhost:5000/api/values

with header

使用方式

使用方式可以參考示例項目

使用自定義的 HeaderAuthentication 來替代之前的認證方式溪烤,默認配置了用戶名味咳,用戶id以及用戶角色檬嘀,如果不能滿足可以在 options 中的 AdditionalHeaderToClaims 中添加更多轉換

        services.AddAuthentication(HeaderAuthenticationDefaults.AuthenticationSchema)
                .AddHeader(HeaderAuthenticationDefaults.AuthenticationSchema, options => { options.AdditionalHeaderToClaims.Add("UserEmail", ClaimTypes.Email); })
                ;

這樣就可以了槽驶,你可以下載示例項目鸳兽,快速體驗,你可以直接添加下面幾個請求頭

UserId 用戶id
UserName 用戶名稱
UserRoles 用戶角色(多個角色以 , 分割揍异,可以在 options 里自定義多個值的分隔符

直接訪問需要授權才能訪問的資源了

現(xiàn)在只是初步的設想與實現(xiàn),并已經驗證確實可行蒿秦,代碼還有一些業(yè)務邏輯比如 UserId 現(xiàn)在是必須的,可以根據(jù)自己需要自行修改棍鳖,最近有點忙,找時間再修改重構一下再發(fā)布 nuget 包渡处。如果有什么需求或問題,歡迎一起探討祟辟。

源碼

自定義認證源碼

提供了 HeaderAuthetication 和 QueryAuthentication 兩種實現(xiàn),一種使用請求頭信息認證旧困,一種使用 QueryString 信息認證。

HeaderAuthetication 主要實現(xiàn)在 HeaderAuthenticationHandler

核心代碼吼具,重寫 Authenticate 方法:

        protected override Task<AuthenticateResult> HandleAuthenticateAsync()
        {
            if (!Request.Headers.ContainsKey(Options.UserIdHeaderName) || !Request.Headers.ContainsKey(Options.UserNameHeaderName))
            {
                return Task.FromResult(AuthenticateResult.NoResult());
            }
            var userId = Request.Headers[Options.UserIdHeaderName].ToString();
            var userName = Request.Headers[Options.UserNameHeaderName].ToString();
            var userRoles = new string[0];
            if (Request.Headers.ContainsKey(Options.UserRolesHeaderName))
            {
                userRoles = Request.Headers[Options.UserRolesHeaderName].ToString()
                    .Split(new[] { Options.Delimiter }, StringSplitOptions.RemoveEmptyEntries);
            }
            var claims = new List<Claim>()
            {
                new Claim(ClaimTypes.NameIdentifier, userId),
                new Claim(ClaimTypes.Name, userName),
            };

            if (userRoles.Length > 0)
            {
                claims.AddRange(userRoles.Select(r => new Claim(ClaimTypes.Role, r)));
            }
            if (Options.AdditionalHeaderToClaims.Count > 0)
            {
                foreach (var headerToClaim in Options.AdditionalHeaderToClaims)
                {
                    if (Request.Headers.ContainsKey(headerToClaim.Key))
                    {
                        foreach (var val in Request.Headers[headerToClaim.Key].ToString().Split(new[] { Options.Delimiter }, StringSplitOptions.RemoveEmptyEntries))
                        {
                            claims.Add(new Claim(headerToClaim.Value, val));
                        }
                    }
                }
            }
            // claims identity 's authentication type can not be null https://stackoverflow.com/questions/45261732/user-identity-isauthenticated-always-false-in-net-core-custom-authentication
            var principal = new ClaimsPrincipal(new ClaimsIdentity(claims, Scheme.Name));
            var ticket = new AuthenticationTicket(
                principal,
                Scheme.Name
            );
            return Task.FromResult(AuthenticateResult.Success(ticket));
        }

注意

請注意拗盒,如果使用這種方式怖竭,請確保你的服務不會被外界直接訪問陡蝇,請求只能從網關或者本地調試發(fā)起痊臭。需要保證安全性,不能直接暴露到公網广匙,才能使用這種方式。

Memo

如果有什么問題或者意見艇潭,歡迎與我聯(lián)系拼窥。

最后編輯于
?著作權歸作者所有,轉載或內容合作請聯(lián)系作者
  • 序言:七十年代末蹋凝,一起剝皮案震驚了整個濱河市,隨后出現(xiàn)的幾起案子鳍寂,更是在濱河造成了極大的恐慌,老刑警劉巖迄汛,帶你破解...
    沈念sama閱讀 211,743評論 6 492
  • 序言:濱河連續(xù)發(fā)生了三起死亡事件,死亡現(xiàn)場離奇詭異鞍爱,居然都是意外死亡,警方通過查閱死者的電腦和手機睹逃,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 90,296評論 3 385
  • 文/潘曉璐 我一進店門,熙熙樓的掌柜王于貴愁眉苦臉地迎上來沉填,“玉大人,你說我怎么就攤上這事翼闹“弑牵” “怎么了猎荠?”我有些...
    開封第一講書人閱讀 157,285評論 0 348
  • 文/不壞的土叔 我叫張陵,是天一觀的道長法牲。 經常有香客問我史汗,道長拒垃,這世上最難降的妖魔是什么停撞? 我笑而不...
    開封第一講書人閱讀 56,485評論 1 283
  • 正文 為了忘掉前任,我火速辦了婚禮艰猬,結果婚禮上,老公的妹妹穿的比我還像新娘埋市。我一直安慰自己,他們只是感情好道宅,可當我...
    茶點故事閱讀 65,581評論 6 386
  • 文/花漫 我一把揭開白布。 她就那樣靜靜地躺著污茵,像睡著了一般。 火紅的嫁衣襯著肌膚如雪泞当。 梳的紋絲不亂的頭發(fā)上,一...
    開封第一講書人閱讀 49,821評論 1 290
  • 那天襟士,我揣著相機與錄音,去河邊找鬼陋桂。 笑死逆趣,一個胖子當著我的面吹牛嗜历,可吹牛的內容都是我干的汗贫。 我是一名探鬼主播秸脱,決...
    沈念sama閱讀 38,960評論 3 408
  • 文/蒼蘭香墨 我猛地睜開眼部蛇,長吁一口氣:“原來是場噩夢啊……” “哼摊唇!你這毒婦竟也來了涯鲁?” 一聲冷哼從身側響起巷查,我...
    開封第一講書人閱讀 37,719評論 0 266
  • 序言:老撾萬榮一對情侶失蹤抹腿,失蹤者是張志新(化名)和其女友劉穎,沒想到半個月后警绩,有當?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體崇败,經...
    沈念sama閱讀 44,186評論 1 303
  • 正文 獨居荒郊野嶺守林人離奇死亡,尸身上長有42處帶血的膿包…… 初始之章·張勛 以下內容為張勛視角 年9月15日...
    茶點故事閱讀 36,516評論 2 327
  • 正文 我和宋清朗相戀三年缩膝,在試婚紗的時候發(fā)現(xiàn)自己被綠了。 大學時的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片岸霹。...
    茶點故事閱讀 38,650評論 1 340
  • 序言:一個原本活蹦亂跳的男人離奇死亡,死狀恐怖贡避,靈堂內的尸體忽然破棺而出,到底是詐尸還是另有隱情刮吧,我是刑警寧澤,帶...
    沈念sama閱讀 34,329評論 4 330
  • 正文 年R本政府宣布皇筛,位于F島的核電站,受9級特大地震影響水醋,放射性物質發(fā)生泄漏旗笔。R本人自食惡果不足惜拄踪,卻給世界環(huán)境...
    茶點故事閱讀 39,936評論 3 313
  • 文/蒙蒙 一、第九天 我趴在偏房一處隱蔽的房頂上張望惶桐。 院中可真熱鬧撮弧,春花似錦姚糊、人聲如沸贿衍。這莊子的主人今日做“春日...
    開封第一講書人閱讀 30,757評論 0 21
  • 文/蒼蘭香墨 我抬頭看了看天上的太陽肠槽。三九已至擎淤,卻和暖如春秸仙,著一層夾襖步出監(jiān)牢的瞬間嘴拢,已是汗流浹背寂纪。 一陣腳步聲響...
    開封第一講書人閱讀 31,991評論 1 266
  • 我被黑心中介騙來泰國打工, 沒想到剛下飛機就差點兒被人妖公主榨干…… 1. 我叫王不留,地道東北人抢腐。 一個月前我還...
    沈念sama閱讀 46,370評論 2 360
  • 正文 我出身青樓,卻偏偏與公主長得像迈倍,于是被迫代替她去往敵國和親伤靠。 傳聞我的和親對象是個殘疾皇子啼染,可洞房花燭夜當晚...
    茶點故事閱讀 43,527評論 2 349

推薦閱讀更多精彩內容