【Blog.Core开源】网关自定义认证鉴权与传参

书接上文,上回咱们说到了《【Blog.Core开源】网关统一集成下游服务文档》,已经将多个下游服务统一集成到了网关里,并且也把接口文档Swagger给集成了,那今天就说一下认证和鉴权相关的话题。

355a73eefe1c3b600ae550af94b24aca.png

继续说下故事背景

在平时开发的时候,特别是有网关的情况下,经常会遇到一个不可避免的话题,就是网关到底要不要帮下游处理某些业务逻辑的问题,比如说认证鉴权、审计日志、当前用户信息获取,白名单等等。

这里其实见仁见智,同时也要考虑各个项目的具体架构设计和需要,我个人的习惯还是网关要轻一些,什么叫轻一些呢,拿BlogCore举例,认证走的是Ids4的统一认证平台,从平台那里得到令牌Token,然后经过网关走到BlogCore,解析,并走具体的自定义授权逻辑,因为这里涉及到动态菜单权限配置,所以很少会放到网关里处理,毕竟每个下游服务都可能会有自己的那部分逻辑。其实除了授权这块,还有一些数据,比如当前用户的私密信息,例如手机号之类的,这个phone肯定不能放到token里的,因为token虽然有过期时间,但是就算是失效,还是可以解密出来的,放到公网上的令牌基本都是只放一些非私密的个人信息,比如uid或者是roleId,实在有需要也可以在token里放部门的id的,这也无可厚非,但是phone和address是万万不能放到token里的。

那么问题来了,phone和address我们到底应该从哪里获取?上边的菜单权限大家已经达成共识,就是放到下游,让下游服务自己来处理,那根据token中的uid来获取phone信息,就需要考虑下了,很多人说放网关呗,每次请求查库等操作,然后放到header里传递给下游,这也是一个方案,今天也会给大家讲讲怎么获取,怎么传。

当然我个人的意见还是网关仅仅是解析token里有的,传递给下游,至于查库的那些,还是下游获取吧,这是我的个人意见,并不是完全正确。为什么呢,大家想想,咱们在网关里写拦截器或者中间件,每次接口请求,都根据header中的token来查库,这样不管下游需不需要,不管下游接口是不是匿名都去查库一下,会造成资源浪费,比如我就想搜索下list,每次都查询下当前人的user信息,似乎没那么必要,特别是list页面高并发的时候,是不是不太好,当然这样的好处就是对下游方便且能做详细的审计日志。

今天咱们就说下如何自定义拦截器传递自定义claim信息给下游。

01

PART

网关自定义认证处理器

在网关中注册认证服务,并设计处理器,实现认证授权拦截,比如说token是否可以正常的解密等,用来判断token的有效性等,也可以查询数据库,获取私密信息:

services.AddAuthentication().AddScheme<AuthenticationSchemeOptions, CustomAuthenticationHandler>(Permissions.GWName, _ => { });

然后具体的处理器,大家根据需求自定义即可,注意把信息放到Claims里,不仅可以在当前网关的其他地方获取,从而减少二次请求的情况。也可以传递给下游服务。

public class CustomAuthenticationHandler : AuthenticationHandler<AuthenticationSchemeOptions>
{public CustomAuthenticationHandler(IOptionsMonitor<AuthenticationSchemeOptions> options,ILoggerFactory logger,UrlEncoder encoder,ISystemClock clock) : base(options, logger, encoder, clock){}protected override async Task<AuthenticateResult> HandleAuthenticateAsync(){// 可以查询数据库等操作// 获取当前用户不能放到token中的私密信息var userPhone = "15010000000";var claims = new List<Claim>(){new Claim("user-phone", userPhone),new Claim("gw-sign", "gw")};var principal = new ClaimsPrincipal(new ClaimsIdentity(claims, Scheme.Name));var ticket = new AuthenticationTicket(principal, Scheme.Name);await Task.CompletedTask;return AuthenticateResult.Success(ticket);}
}

 内容很简单,就是一个普通的处理器,那接下来就是看如何把Claim给传给下游服务了。

02

PART

对下游服务开启认证处理器

Ocelot已经做好了配置,就像是自定义响应处理器一样,认证的也可以直接配置:

// blog-svc
{"UpstreamPathTemplate": "/svc/blog/{url}","UpstreamHttpMethod": [ "Get", "Post", "Put", "Delete" ],"LoadBalancerOptions": {"Type": "RoundRobin"},"DownstreamPathTemplate": "/svc/blog/{url}","DownstreamScheme": "http","DownstreamHostAndPorts": [{"Host": "localhost","Port": 9291}],// 直接配置认证Key即可"AuthenticationOptions": {"AuthenticationProviderKey": "GW"}
},

也可以有更多的参数配置,具体可以参考官网:

https://ocelot.readthedocs.io/en/latest/features/configuration.html?highlight=AuthenticationOptions#configuration

03

PART

Ocelot将Claim传递下游

还是在Ocelot的官网上可以看到很多Demo,我只配置三项,1、分别是动态从Claim中获取并用Request的Header传值,2、直接在Request中传递固定Header值,3、获取下游服务的Response的Header给上游网关。

其中第三点还是很有用的,比如我们以后的Skywalking中,如果某次链路请求报错了,但是又想快速的定位,所以就需要用户给我们提供当前操作的标识,有时候是uid,有时候是url,这两个都不是很直观。通过配置Ocelot,正好可以从下游服务的response的header中返给前端,用户就能提供了,更加快速方便的定位问题。

// blog-svc
{"UpstreamPathTemplate": "/svc/blog/{url}","UpstreamHttpMethod": [ "Get", "Post", "Put", "Delete" ],"LoadBalancerOptions": {"Type": "RoundRobin"},"DownstreamPathTemplate": "/svc/blog/{url}","DownstreamScheme": "http","DownstreamHostAndPorts": [{"Host": "localhost","Port": 9291}],// 添加到headers// 从claims中获取"AddHeadersToRequest": {"user-phone": "Claims[user-phone] > value","gw-sign": "Claims[gw-sign] > value"},// 从上游网关的request的header中"UpstreamHeaderTransform": {"custom-key": "blog.gateway"},// 从下游服务的response的header中"DownstreamHeaderTransform": {"down-app": "{para-down-app}","trace-id": "Trace-Id"},"AuthenticationOptions": {"AuthenticationProviderKey": "GW"}
},

在上边注释的三块,就是常见的三种方案。

04

PART

下游服务查看具体效果

在BlogCore服务中,valueController中测试下是否传递了具体的参数:

[HttpGet]
public MessageModel<List<ClaimDto>> MyClaims()
{return new MessageModel<List<ClaimDto>>(){success = true,response = (_user.GetClaimsIdentity().ToList()).Select(d =>new ClaimDto{Type = d.Type,Value = d.Value}).ToList()};
}

其中获取Claim方法,也获取了下header中其他的参数:

public IEnumerable<Claim> GetClaimsIdentity(){var claims = _accessor.HttpContext.User.Claims.ToList();var headers = _accessor.HttpContext.Request.Headers;foreach (var header in headers){claims.Add(new Claim(header.Key, header.Value));}return claims;}

这里有一个小注意事项:

如果下游服务是加权的,可以直接通过swagger添加token的方式,获取claims信息,但是接口是匿名的,那swagger是不会传递token信息的,我们可以用postman测试,一样的效果,毕竟前端Vue.js也是我们手动传递的。

关于swagger不加权就不传递token这个问题,以后我会优化下,写个扩展中间件。

查看下具体的情况:

648892be51d685343854548318f3028e.png

携带上token以后,发起请求,无论是自定义固定的参数还是Claims中的变量都传给了下游服务,并且下游的Response的Header也有了值。

好啦,网关系列的分享就先到这里了,咱们下次再见,说说注册中心集成功能。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/291716.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

linux网络编程之inet_pton和inet_ntop函数

Linux下这2个IP地址转换函数,可以在将IP地址在“点分十进制”和“整数”之间转换 而且,inet_pton和inet_ntop这2个函数能够处理ipv4和ipv6。算是比较新的函数了。 1、inet_pton函数原型如下[将“点分十进制” -> “整数”] #include <sys/types.h>#include <sys…

私活利器,docker快速部署node.js应用

http://cnodejs.org/topic/53f494d9bbdaa79d519c9a4a 最近研究了几天docker的快速部署&#xff0c;感觉很有新意&#xff0c;非常轻量级和方便&#xff0c;打算在公司推广一下&#xff0c;解放运维&#xff0c;省得每次部署一台新服务器都去跑安装脚本了&#xff0c;对于我们开…

HDFS HA与QJM(Quorum Journal Manager)介绍及官网内容整理

问题导读1.HDFS HA与QJM解决了什么问题&#xff1f; 2.HDFS HA与QJM区别是什么&#xff1f; 3.在HA&#xff08;两个namenode&#xff09;架构下&#xff0c;如何访问hdfs文件&#xff1f;【使用QJM构建HDFS HA架构(2.2)】本文主要介绍HDFS HA特性&#xff0c;以及如何使用QJM(…

#时间预测算法_【时间序列】时序预测竞赛之异常检测算法综述

本文将介绍在时间序列预测相关问题中常见的异常检测算法&#xff0c;可以很大程度上帮助改善最终预测效果。异常分类时间序列的异常检测问题通常表示为相对于某些标准信号或常见信号的离群点。虽然有很多的异常类型&#xff0c;但是我们只关注业务角度中最重要的类型&#xff0…

监测利器cacti服务安装

1、Cacti原理及概述1Cacti是一款使用PHP语言开发的性能与流量监测工具。监测的对象可以是linux也可以是windows也可以是路由器交换机等网络设备主要基于SNMPsimple network managerprotocol简单网络管理协议来搜集cpu占用内存使用运行进程数磁盘空间网卡流量等各种网络数据。2实…

linux c之解决array subscript is not integer和AF_NET not undeclared

1、array subscript is not integer 我一开始写的代码是这样的写的 buf[strlen[buf] - 1] \0; 很明显写错了&#xff0c;以后不要再犯这样的错误了&#xff0c;切记 buf[strlen(buf) - 1] \0; 2、AF_NET not undeclared 这是我写的代码 inet.pton(AF_NET, buf 6, &add…

C#中的类型转换

前几篇文章中经常说到强制类型转换&#xff0c;就是可以将派生类对象强制转换为基类对象的做法或者通过as运算符进行的转换。今天我们就来一起简单了解复习下在C#中都有哪些类型的转换。要理解转换很容易&#xff0c;日常的开发编码过程中&#xff0c;由于变量类型的不同我们可…

Excel 用于批量把单元格设置为文本格式保存的数字的宏

首先把所有的数字录入&#xff08;或者导出为&#xff09;井号数字的格式&#xff0c;比如“#3333333323424234234234”&#xff0c;然后运行下面的宏&#xff1a; Sub Num2Text()If Not TypeOf Application.Selection Is Range ThenMsgBox "You must select cells!"…

ACM题解系列之一:刘汝佳:《算法竞赛入门经典》(第2版)

题是书中的题&#xff0c;解法参照了书中的解法&#xff0c;不少解法都做了简化和改进。 做程序&#xff0c;就要努力做到自己的程序是最好的&#xff01; 第3章例题 POJ1488 UVA272 UVALive5381 TEX Quote【输入输出】 POJ2538 ZOJ1884 UVA10082 WERTYU【输入输出】 HDU1318 P…

linux之快速过滤文本的关键字以及快速过滤目录下的关键字

1、快速过过滤文本的关键字 cat file | grep 关键字 比如Android日志文件很长&#xff0c;需要过滤Exception,就可以用这个办法&#xff0c;如下图 2、快速过滤目录下的关键字 grep -r 关键字 比如我们在linux上看目录下哪些关键字段&#xff0c;好像开发工具里面的 find usag…

hadoop使用

2019独角兽企业重金招聘Python工程师标准>>> 框架简介 Hadoop使用主/从&#xff08;Master/Slave&#xff09;架构&#xff0c;主要角色有NameNode&#xff0c;DataNode&#xff0c;secondary NameNode&#xff0c;JobTracker&#xff0c;TaskTracker组成。 其中Nam…

bigint hive java类型_详解Apache Hudi如何配置各种类型分区

1. 引入Apache Hudi支持多种分区方式数据集&#xff0c;如多级分区、单分区、时间日期分区、无分区数据集等&#xff0c;用户可根据实际需求选择合适的分区方式&#xff0c;下面来详细了解Hudi如何配置何种类型分区。2. 分区处理为说明Hudi对不同分区类型的处理&#xff0c;假定…

C#中的命名空间和程序集

前言今天这篇文章和大家一起学习下C#语言下的命名空间和程序集。在日常的编码工作中&#xff0c;我们对命名空间和程序集都不会很陌生。在创建项目文件时&#xff0c;IDE自动会为我们创建好一个大的命名空间和程序集。大多数业务代码都是在解决方案下各自的命令空间里进行编码的…

C/C++预处理宏的总结

1.定义顺序的无关性 #define PI 3.14 #define TWO_PI 2*PI 这两句谁前谁后无所谓&#xff0c;因为预处理器不断迭代来实现宏替换&#xff0c;直到源文件中没有宏了才停止。 2. 宏变量变成字符串 #define str(x) #x 例子&#xff1a;str (teststring) > "teststrin…

基于jQuery的ajax系列之用FormData实现页面无刷新上传

接着上一篇ajax系列之用jQuery的ajax方法向服务器发出get和post请求写&#xff0c;这篇主要写如何利用ajax和FormData实现页面无刷新的文件上传效果&#xff0c;主要用到了jQuery的ajax()方法和XMLHttpRequest Level 2的FormData接口。关于FormData&#xff0c;大家可以看MDN文…

linux网络编程之用多线程实现客户端到服务端的通信(基于udp)

1、开启一个线程接受数据,主线程发送数据的代码 #include <unistd.h> #include <stdio.h> #include <stdlib.h> #include <string.h> #include <pthread.h> #include <netinet/in.h> #include <errno.h> #include <sys/time.h&g…

Apache FTPClient操作文件上传下载及公共类

我们在项目中可能需要使用ftp进行文件的上传、下载、获取服务器目录信息等相关操作&#xff0c;我们可以使用apache的FTPClient进行相关的操作&#xff0c;下面把相关公共方法与大家交流分享&#xff0c;每个方法前都有详细的注释进行讲解&#xff0c;不过在进行ftp测试的时候&…

abd shell关闭所有程序_在后台服务器上运行程序

之前总结过screen的用法&#xff0c;但还可以用nohup命令。nohup工具&#xff1a;Linux系统中有提供一个很好的不挂断地运行命令——nohup。我们使用nohup能很简单的控制使用&#xff0c;在此就简单的介绍一下nohup工具。nohup 命令nohup就是不挂起的意思( no hang up)。用途&a…

优秀的JavaScript模块是怎样炼成的

引言&#xff1a;如今的JavaScript已经是Web上最流行的语言&#xff0c;没有之一。从Github上的语言排行榜https://github.com/languages上即可看出&#xff0c;也是如今最为活跃的开源社区。随着Node的加入&#xff0c;JavaScript开枝散叶进入服务器领域&#xff0c;为这个语言…

解锁JDK 12的奇妙之旅:新特性详解

欢迎来到我的博客&#xff0c;代码的世界里&#xff0c;每一行都是一个故事 解锁JDK 12的奇妙之旅&#xff1a;新特性详解 前言switch表达式拓展NumberFormat对复杂数字的格式化字符串支持transform、indent操作新增方法Files.mismatch(Path, Path)Teeing Collector支持unicode…