asp.net core 自定義認證方式--請求頭認證
Intro
最近開始真正的實踐了一些網關的東西,最近寫幾篇文章分享一下我的實踐以及遇到的問題瞎疼。
本文主要介紹網關后面的服務如何進行認證。
解決思路
網關可以做一部分的認證和授權丑慎,服務內部有時候也會需要用戶的信息瓤摧,這時該怎么辦呢,我們使用的是 JWT 認證照弥,有一個 identity server去頒發(fā),驗證 token这揣,一種簡單方式可以把 token 直接往后傳,傳遞給后面的具體某個服務影斑,后面的服務可以去 identity server 拿到公鑰信息去驗證 token 的合法性,依然可以拿到用戶的一些基本信息矫户,但又覺得這樣后面的服務還是要依賴 identityserver 不是太好,因為認證已經在網關做掉了皆辽,后面不應該再去做認證的事情了,而且解析 JWT token 也是有一定的性能損耗驱闷,于是想把用戶的基本信息在網關認證完成之后放到請求頭中。
我們網關用的Ocelot空另,開源的原生 .NET 項目方便自己擴展,Ocelot 中有一個 Claims2Headers 可以把 Claims 中的信息轉換為請求頭扼菠,詳細使用參見文檔,但是實現(xiàn)有個bug娇豫,如果有多個值他只會取第一個匙姜,詳見issue冯痢,可以自己擴展一個 ocelot 的中間件替換掉原有的中間件。
把用戶信息放到請求頭中浦楣,后面的服務從請求頭中就可以拿到用戶的基本信息了袖肥,為了后面的服務不做過多的改動振劳,我做了一個自定義的認證,從請求頭中拿用戶的基本信息進行認證历恐,這樣后面的服務還是可以直接使用 User.Identity.IsAuthenticated
和 User.Identity.Name
等专筷,不需要做什么改動。于是就有了這一根據(jù)請求頭認證的項目
實現(xiàn)效果
下載示例項目蒸苇,在 TestWebApplication 目錄下運行 dotnet run
在瀏覽器中訪問 http://localhost:5000/api/values
使用 postman 或 fiddler (或其它你喜歡的工具)帶上 header 訪問 http://localhost:5000/api/values
使用方式
使用方式可以參考示例項目
使用自定義的 HeaderAuthentication 來替代之前的認證方式溪烤,默認配置了用戶名味咳,用戶id以及用戶角色檬嘀,如果不能滿足可以在 options 中的 AdditionalHeaderToClaims
中添加更多轉換
services.AddAuthentication(HeaderAuthenticationDefaults.AuthenticationSchema)
.AddHeader(HeaderAuthenticationDefaults.AuthenticationSchema, options => { options.AdditionalHeaderToClaims.Add("UserEmail", ClaimTypes.Email); })
;
這樣就可以了槽驶,你可以下載示例項目鸳兽,快速體驗,你可以直接添加下面幾個請求頭
UserId 用戶id
UserName 用戶名稱
UserRoles 用戶角色(多個角色以 , 分割揍异,可以在 options 里自定義多個值的分隔符
直接訪問需要授權才能訪問的資源了
現(xiàn)在只是初步的設想與實現(xiàn),并已經驗證確實可行蒿秦,代碼還有一些業(yè)務邏輯比如 UserId 現(xiàn)在是必須的,可以根據(jù)自己需要自行修改棍鳖,最近有點忙,找時間再修改重構一下再發(fā)布 nuget 包渡处。如果有什么需求或問題,歡迎一起探討祟辟。
源碼
自定義認證源碼
提供了 HeaderAuthetication 和 QueryAuthentication 兩種實現(xiàn),一種使用請求頭信息認證旧困,一種使用 QueryString 信息認證。
HeaderAuthetication 主要實現(xiàn)在 HeaderAuthenticationHandler
核心代碼吼具,重寫 Authenticate 方法:
protected override Task<AuthenticateResult> HandleAuthenticateAsync()
{
if (!Request.Headers.ContainsKey(Options.UserIdHeaderName) || !Request.Headers.ContainsKey(Options.UserNameHeaderName))
{
return Task.FromResult(AuthenticateResult.NoResult());
}
var userId = Request.Headers[Options.UserIdHeaderName].ToString();
var userName = Request.Headers[Options.UserNameHeaderName].ToString();
var userRoles = new string[0];
if (Request.Headers.ContainsKey(Options.UserRolesHeaderName))
{
userRoles = Request.Headers[Options.UserRolesHeaderName].ToString()
.Split(new[] { Options.Delimiter }, StringSplitOptions.RemoveEmptyEntries);
}
var claims = new List<Claim>()
{
new Claim(ClaimTypes.NameIdentifier, userId),
new Claim(ClaimTypes.Name, userName),
};
if (userRoles.Length > 0)
{
claims.AddRange(userRoles.Select(r => new Claim(ClaimTypes.Role, r)));
}
if (Options.AdditionalHeaderToClaims.Count > 0)
{
foreach (var headerToClaim in Options.AdditionalHeaderToClaims)
{
if (Request.Headers.ContainsKey(headerToClaim.Key))
{
foreach (var val in Request.Headers[headerToClaim.Key].ToString().Split(new[] { Options.Delimiter }, StringSplitOptions.RemoveEmptyEntries))
{
claims.Add(new Claim(headerToClaim.Value, val));
}
}
}
}
// claims identity 's authentication type can not be null https://stackoverflow.com/questions/45261732/user-identity-isauthenticated-always-false-in-net-core-custom-authentication
var principal = new ClaimsPrincipal(new ClaimsIdentity(claims, Scheme.Name));
var ticket = new AuthenticationTicket(
principal,
Scheme.Name
);
return Task.FromResult(AuthenticateResult.Success(ticket));
}
注意
請注意拗盒,如果使用這種方式怖竭,請確保你的服務不會被外界直接訪問陡蝇,請求只能從網關或者本地調試發(fā)起痊臭。需要保證安全性,不能直接暴露到公網广匙,才能使用這種方式。
Memo
如果有什么問題或者意見艇潭,歡迎與我聯(lián)系拼窥。