AspNetCore中使用Ocelot之 InentityServer4（1）

前言：

OceLot网关是基于AspNetCore 产生的可扩展的高性能的企业级Api网关，目前已经基于2.0 升级版本升级，在使用AspNetCore 开发的时候可以使用2.0版本了，

开源项目Ocelot 张大队长是主力的参与人员，以前提起张大队前面都会加个腾讯，张大队于2018年8月8日 正式离开了腾讯，回归了真我，这里祝张大队：事事顺心。

OceLot是开源的，开源协议是MIT，所以我们可以大胆放心的使用。

OceLot 的GitHub地址：

OceLot 的中文文档：

目前OceLot  已经成为了一个使用AspNetCore 几乎 必会的一项技术了，所以关注，并且要学习，或者已经在使用的.net 开发人员可以关注并学习了解一下OceLot，

Ocelot的功能：

　　1、基于IdentityServer4的认证
　　2、Consul的注册发现
　　3、单机的限流控制
　　4、基于Polly的使用
　　5、支持Http以及其他的rpc通讯
　　6、网关集群
  　　    等功能，

可以看出非常的强大。接下来我们将Ocelot的功能基于AspNetCore 进行实现。首先学习一下IdentityServer4

1、基于IdentityServer4的认证

在使用之前我们先明白IdentityServer4 是什么以及使用原理。

文档地址：

中文文档：网上也有 推荐 ：

IdentityServer 认证的作用是，不是谁想登录我的Web就能登录的，也不是谁想使用我的接口就能使用的，不经过我的同意就想使用我的服务那是不存在的，除非你是故意的。

我们说一个故事。

怎么说呢，认证其实就是一把钥匙，打开一扇门的钥匙，就好比几个人一起租房子一样，该房门的钥匙是指纹的，房东只给四个人授权了指纹开门的权限，现在有四个人可以进屋了，但是我们有五个人要进屋，但是房东只授权我们其中四个人了，还有一人没有钥匙，但是每多配一把钥匙，需要向房东申请授权，申请通过后才能指纹开锁，这个人才能进屋，我们变要求房东在授权一个人，但是这时候房东说了那位哥们看起来不像是好人不给授权，如果以后回来了敲门，确定是你后我来给开门，后来这哥们气不过通过私下操作也能开门了，有一天被发现了，该哥们便失去了租住的权利了。

这里的钥匙就是秘钥，有秘钥了才能有进行访问程序的权限，但是秘钥只有授权后才能使用，事实上没有经过授权的秘钥是不能进行程序访问的，但是万事都不是绝对的，安全一直是我们所关注的问题，就好比一把简单的钥匙，经过违规操作，就能打开一扇门，危害我们的安危，这把违规的钥匙告诉我们的是，秘钥要严加看管，轻易不要暴露给别人，安全也要加强不要轻易放松。

IdentityServer4 的规则：

　　1、我们常见的程序之间的交互方式有：
　　2、浏览器和web 之间的通信：
　　3、Web 于Api之间的通信：
　　4、用户于Api 之间的通信：
　　5、浏览器程序 于Api 之间的通信：
　　6、服务器程序 于Api 通讯：
　　7、Api 之间的相互通讯：

为了保证安全我们创建一个安全令牌的服务，用来管理通信之间的基础安全，并不是说有了安全令牌服务就绝对安全了，为了安全我们还需要做到更多，没有绝对的安全存在。

IdentityServer4 具体能用在什么地方：

因为IdentityServer4是一款包含了，授权（OAuth2）与认证（OpendID）协议的框架。

具体什么是OAuth2和OpendID 我们以上文的故事来分析一下，授权（OAuth2）就是房东给租户授权的钥匙一样，我们拿到授权的钥匙后，可以随意的进出房子，但是那个倒霉的哥们没有没有授权，每次回家都需要先让房东证明他是他（认证（OpendID 代表着是本人）后才能进出房子，每次进屋都需要证明自己，这样进出屋就不是很方便了，权限明显没有被授权（OAuth2）的人高。

如果通过我的描述还不是很清楚的，可以搜索一下具体的区别，我想收获会更大。

推荐一个地址：

有了这两样东西后我们可以做以下事情（不包括所有）：

　　1、可以做单点登录的功能
　　2、可以做身份验证
　　3、可以做Api访问权限的控制
　　4、也可以做第三方登录

IdentityServer4是灵活的，我们可以根据我们的需求去使用他，IdentityServer 有效的保护资源不受破坏。

　　大致使用流程如下图所示：官方的图：

搭建第一个IdentityServer 入门程序

1、创建AspNetCore空白Web 程序

2、在程序控制台中添加IdentityServer4 的包 安装命令获取地址 ：

　　安装如图所示：

　　使用命令 Install-Package IdentityServer4 -Version 2.2.0

3、在StartUP中这样使用：下面就不过多的描述了，大多数都写在代码中：

　　在ConfigureServices 中写入如下：

 public void ConfigureServices(IServiceCollection services)
        {
            //注入服务
            services.AddIdentityServer().
                AddDeveloperSigningCredential()//扩展程序为签名令牌创建临时密钥材料
               .AddInMemoryClients(Config.GetClients())//基于配置对象的内存中集合的注册IClientStore和ICorsPolicyService实现Client
               .AddInMemoryApiResources(Config.GetApiResources());//IResourceStore根据ApiResource配置对象的内存中集合注册实现
        }

　　在 Configure 注入：

  public void Configure(IApplicationBuilder app, IHostingEnvironment env)
        {
            if (env.IsDevelopment())
            {
                app.UseDeveloperExceptionPage();
            }
            //注入HTTP管道中
            app.UseIdentityServer();

            app.Run(async (context) =>
            {
                await context.Response.WriteAsync("Hello World!");
            });
        }

　　新建配置类Config：

using IdentityServer4.Models;
using System;
using System.Collections.Generic;
using System.Linq;
using System.Threading.Tasks;

namespace InentityServer4_1
{
    public class Config
    {
        /// <summary>
        /// 返回收保护的Api集合
        /// </summary>
        /// <returns></returns>

        public static IEnumerable<ApiResource> GetApiResources()
        {
            List<ApiResource> resources = new List<ApiResource>();
            //ApiResource第一个参数是应用的名字，第二个参数是描述
            resources.Add(new ApiResource("API", "接口API"));
            return resources;
        }
        /// <summary>
        /// 定义客户信息列表
        /// </summary>
        /// <returns></returns>
        public static IEnumerable<Client> GetClients()
        {
            List<Client> clients = new List<Client>();
            clients.Add(new Client
            {
                ClientId = "clientID",//API账号、客户端Id
                //客户端验证凭证授权类型
                AllowedGrantTypes = GrantTypes.ClientCredentials,
                //ClientSecrets 认证秘钥
                ClientSecrets =
                {
                    //SHA 安全散列算法 是一个密码散列函数家族，是FIPS所认证的安全散列算法。能计算出一个数字消息所对应到的，长度固定的字符串（又称消息摘要）的算法。且若输入的消息不同，它们对应到不同字符串的机率很高。
                    new Secret("123321".Sha256(),"用户秘钥")//秘钥
                },

                //AllowedScopes 定义当秘钥验证通过后允许访问的资源
                //多个使用 逗号隔开 如 AllowedScopes = { "API","API1","API1" }
                AllowedScopes = { "API" }
            });
            return clients;
        }
    }
}

4、运行项目后根据启动的端口后面加上：.well-known/openid-configuration 可以得到配置信息的内容：

　　我的是默认的5000端口 如访问：

这样身份认证服务就Ok了。

下一篇：我们创建一个受保护的Api,以及客户端如何使用。

本来最近 想写一系列 基于Ocelot+ InentityServer4 功能文章，以及后续使用的功能文章， 今天才接到通知 我们马上要上线服务，以及新的项目的所有AspNetCore的微服务接口 都要使用 Apollo 配置中心，最近要转移一下学习重心了，先把项目搞定了在 继续下一篇了。

有不足之处 希望大家指出相互学习，

                      本文原创：转载请注明出处 谢谢！