Intro

最近開始真正的實踐了一些網關的東西，最近寫幾篇文章分享一下我的實踐以及遇到的問題。

本文主要介紹網關后面的服務如何進行認證。

解決思路

網關可以做一部分的認證和授權，服務內部有時候也會需要用戶的信息，這時該怎么辦呢，我們使用的是 JWT 認證，有一個 identity server去頒發，驗證 token，一種簡單方式可以把 token 直接往后傳，傳遞給后面的具體某個服務，后面的服務可以去 identity server 拿到公鑰信息去驗證 token 的合法性，依然可以拿到用戶的一些基本信息，但又覺得這樣后面的服務還是要依賴 identityserver 不是太好，因為認證已經在網關做掉了，后面不應該再去做認證的事情了，而且解析 JWT token 也是有一定的性能損耗，于是想把用戶的基本信息在網關認證完成之后放到請求頭中。

我們網關用的Ocelot，開源的原生 .NET 項目方便自己擴展，Ocelot 中有一個 Claims2Headers 可以把 Claims 中的信息轉換為請求頭，詳細使用參見文檔，但是實現有個bug，如果有多個值他只會取第一個，詳見issue，可以自己擴展一個 ocelot 的中間件替換掉原有的中間件。

把用戶信息放到請求頭中，后面的服務從請求頭中就可以拿到用戶的基本信息了，為了后面的服務不做過多的改動，我做了一個自定義的認證，從請求頭中拿用戶的基本信息進行認證，這樣后面的服務還是可以直接使用?User.Identity.IsAuthenticated?和?User.Identity.Name?等，不需要做什么改動。于是就有了這一根據請求頭認證的項目

實現效果

下載示例項目，在 TestWebApplication 目錄下運行?dotnet run

在瀏覽器中訪問?http://localhost:5000/api/values

使用 postman 或 fiddler （或其它你喜歡的工具）帶上 header 訪問?http://localhost:5000/api/values

使用方式

使用方式可以參考示例項目

使用自定義的 HeaderAuthentication 來替代之前的認證方式，默認配置了用戶名，用戶id以及用戶角色，如果不能滿足可以在 options 中的?AdditionalHeaderToClaims?中添加更多轉換

這樣就可以了，你可以下載示例項目，快速體驗，你可以直接添加下面幾個請求頭

UserId 用戶id
UserName 用戶名稱
UserRoles 用戶角色（多個角色以 , 分割，可以在 options 里自定義多個值的分隔符

直接訪問需要授權才能訪問的資源了

現在只是初步的設想與實現，并已經驗證確實可行，代碼還有一些業務邏輯比如 UserId 現在是必須的，可以根據自己需要自行修改，最近有點忙，找時間再修改重構一下再發布 nuget 包。如果有什么需求或問題，歡迎一起探討。

源碼

自定義認證源碼

提供了 HeaderAuthetication 和 QueryAuthentication 兩種實現，一種使用請求頭信息認證，一種使用 QueryString 信息認證。

HeaderAuthetication 主要實現在?HeaderAuthenticationHandler

核心代碼，重寫 Authenticate 方法：

注意

請注意，如果使用這種方式，請確保你的服務不會被外界直接訪問，請求只能從網關或者本地調試發起。需要保證安全性，不能直接暴露到公網，才能使用這種方式。

原文地址：https://www.cnblogs.com/weihanli/p/10464507.html

.NET社區新聞，深度好文，歡迎訪問公眾號文章匯總 http://www.csharpkit.com

總結

以上是生活随笔為你收集整理的ASP.NET Core 自定义认证方式--请求头认证的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。