ToB企服应用市场:ToB评测及商务社交产业平台

标题: Welcome to YARP - 5.身份验证和授权 [打印本页]
作者: 大连密封材料    时间: 2023-12-11 12:01
标题: Welcome to YARP - 5.身份验证和授权
目录

Welcome to YARP - 1.认识YARP并搭建反向代理服务
Welcome to YARP - 2.配置功能
Welcome to YARP - 3.负载均衡
Welcome to YARP - 4.限流
Welcome to YARP - 5.身份验证和授权
Welcome to YARP - 6.压缩、缓存
Welcome to YARP - 7.健康检查
Welcome to YARP - 8.分布式跟踪
介绍

说到认证授权,相信还是有很多小伙伴把这两个东西搞混掉,毕竟两个单词也是很相近,AuthenticationAuthorization
有了上述了解,接下来我们看 YARP 的 身份验证授权
反向代理可用于在将请求代理到目标服务器之前,对请求进行身份验证和授权。这可以减少目标服务器上的负载,增加一层保护,并确保在应用程序中实施一致的策略。 接下来让我们看下如何开启认证和授权。
如果有对 .NET 本身的身份验证授权功能不了解的小伙伴,可以先去微软文档了解一下(身份验证授权),再回来看可能会容易理解。因为 YARP 就是使用的 .NET 的认证和授权。提供策略,交给其中间件处理。
配置

可以通过 RouteConfig.AuthorizationPolicy 为每个路由指定授权策略,并且可以从配置文件的 Routes 各个部分进行绑定。与其他路由属性一样,可以在不重新启动代理的情况下修改和重新加载此属性。策略名称不区分大小写。
示例:
  1. {
  2.   "ReverseProxy": {
  3.     "Routes": {
  4.       "route1" : {
  5.         "ClusterId": "cluster1",
  6.         "AuthorizationPolicy": "customPolicy",
  7.         "Match": {
  8.           "Hosts": [ "localhost" ]
  9.         },
  10.       }
  11.     },
  12.     "Clusters": {
  13.       "cluster1": {
  14.         "Destinations": {
  15.           "cluster1/destination1": {
  16.             "Address": "https://localhost:10001/"
  17.           }
  18.         }
  19.       }
  20.     }
  21.   }
  22. }
复制代码
授权策略使用的是 ASP.NET Core 的概念。代理提供上述配置来为每个路由指定一个策略,其余部分由现有的 ASP.NET Core 身份验证和授权组件处理。 是不是和上一章的限流是一个套路,都是 .NET 本身的功能,开箱即用。
配置授权策略,如下所示:
  1. builder.Services.AddAuthorization(options =>
  2. {
  3.     options.AddPolicy("customPolicy", policy => policy.RequireAuthenticatedUser());
  4. });
  7. app.UseRouting();
  8. app.UseAuthentication();
  9. app.UseAuthorization();
  11. app.MapReverseProxy();
复制代码
要了解如何设置首选的身份验证类型,可以参阅身份验证文档
特殊值(内置策略):

除了自定义策略名称之外,还可以在路由的授权参数中指定两个特殊值: default 和 anonymous 。这是两个内置的策略名称,用于简化身份验证和授权配置。
示例用法:
  1. app.MapGet("/default", () =>
  2. {
  3.     return "hello";
  4. }).RequireAuthorization();// 将具有指定名称的授权策略添加到终结点。空 代表使用 default 策略
复制代码
上述的RequireAuthorization() 方法没给参数 默认就是用了 default 策略,已登录的用户才能通过验证。 而且还可以指定多个策略。他接收的是一个 params string[] policyNames 参数,你还可以添加其他策略。
YARP 中用法:
  1. "Routes": {
  2.       "DefaultAuthRoute": {
  3.         "ClusterId": "cluster1",
  4.         // 此路由使用内置的默认授权策略,该策略要求经过身份验证的用户
  5.         "AuthorizationPolicy": "Default",
  6.         "Match": {
  7.           "Path": "/default"
  8.         }
  9.       }
  10. }
复制代码
示例用法:
  1. app.MapGet("/public", () =>
  2. {
  3.         return "hello";
  4. }).AllowAnonymous();
复制代码
YARP 中用法:
  1. "Routes": {
  2.       "AnonymousRoute": {
  3.         "ClusterId": "cluster1",
  4.         // 此路由使用内置的默认授权策略,该策略要求经过身份验证的用户
  5.         "AuthorizationPolicy": "Anonymous",
  6.         "Match": {
  7.           "Path": "/open/{*any}"
  8.         }
  9.       }
  10. }
复制代码
FallbackPolicy 回退策略

AuthorizationOptions.FallbackPolicy   用于处理未指定任何特定策略的路由。这是一个全局默认策略,如果路由没有指定特定策略,就会使用这个策略。通常情况下,FallbackPolicy 会采用默认策略,要求用户已通过身份验证。
示例用法:
  1. builder.Services.AddAuthorization(options =>
  2. {
  3.     options.FallbackPolicy = new AuthorizationPolicyBuilder()
  4.         .RequireAuthenticatedUser() // 默认情况下,要求用户已通过身份验证. 可以提成你需要的验证
  5.         .Build();
  6. });
复制代码
YARP 中用法:
  1. "Routes": {
  2.       "Other": {
  3.         // 由于以下路由未定义授权策略,因此使用回退策略
  4.         "ClusterId": "cluster1",
  5.         "Match": {
  6.           "Path": "{**catchall}"
  7.         }
  8.       }
  9. }
复制代码
Flowing Credentials 流动凭证

即使在代理中授权了请求后,目标服务器可能仍需要知道用户是谁(身份验证)以及允许他们执行的操作(授权)。如何传递该信息将取决于所使用的身份验证类型。
Cookie, bearer, API keys

这些身份验证类型已经在请求头中传递了它们的值,默认情况下这些值将流到目标服务器。该服务器仍然需要验证和解释这些值,这可能会造成一些双重工作(代理也校验,目标服务也校验)
Windows, Negotiate, NTLM, Kerbereos

这些身份验证类型通常绑定到特定连接。不支持将它们作为在 YARP 代理后面的目标服务器中对用户进行身份验证的方法(参见 #166。它们可用于对代理的传入请求进行身份验证,但该身份信息必须以另一种形式传达给目标服务器。它们还可用于向目标服务器验证代理,但只能作为代理自己的用户,不支持模拟客户端( YARP 无法代表客户端进行目标服务器的身份验证)
Client Certificates 客户端证书

客户端证书是一项 TLS 功能,作为连接的一部分进行协商。有关其他信息,请参阅这些文档。可以使用 ClientCert 转换将证书作为 HTTP 标头转发到目标服务器。
替换身份验证类型

像 Windows 这样不自然流到目标服务器的身份验证类型需要在代理中转换为其他形式。例如,可以使用用户信息创建 JWT 承载令牌,并在代理请求上进行设置。
可以使用自定义请求转换来执行这些交换(看起来又要加一章 请求转换 的篇章了 )。如果你有足够的兴趣,可以针对特定场景开发详细示例,反馈给 YARP 让他们了解您希望如何转换和流动身份信息的。
总结

本章我们介绍了 YARP 的认证和授权功能,概念比较多,此功能还是主要依赖于.NET 本身的认证和授权。如果有不了的可以先从微软文档学起,看起来相对会简单一些。本章建议结合示例代码一起看理解起来会比较方便,示例代码已上传GitHub
本章示例完整配置如下:
  1. {
  2.   "Logging": {
  3.     "LogLevel": {
  4.       "Default": "Information",
  5.       "Microsoft.AspNetCore": "Warning"
  6.     }
  7.   },
  8.   "AllowedHosts": "*",
  9.   "ReverseProxy": {
  10.     "Routes": {
  11.       "DefaultAuthRoute": {
  12.         "ClusterId": "cluster1",
  13.         // 此路由使用内置的默认授权策略,该策略要求经过身份验证的用户
  14.         "AuthorizationPolicy": "Default",
  15.         "Match": {
  16.           "Path": "/default"
  17.         }
  18.       },
  19.       "ClaimsAuthRoute": {
  20.         "ClusterId": "cluster1",
  21.         // 自定义策略
  22.         "AuthorizationPolicy": "myPolicy",
  23.         "Match": {
  24.           "Path": "/custom/{*any}"
  25.         }
  26.       },
  27.       "AnonymousRoute": {
  28.         "ClusterId": "cluster1",
  29.         // 此路由使用内置的默认授权策略,该策略要求经过身份验证的用户
  30.         "AuthorizationPolicy": "Anonymous",
  31.         "Match": {
  32.           "Path": "/open/{*any}"
  33.         }
  34.       },
  35.       "Other": {
  36.         // 由于以下路由未定义授权策略,因此使用回退策略
  37.         // 程序中 设置为null,因此不需要身份验证或声明。
  38.         "ClusterId": "cluster1",
  39.         "Match": {
  40.           "Path": "{**catchall}"
  41.         }
  42.       }
  43.     },
  44.     "Clusters": {
  45.       "cluster1": {
  46.         "Destinations": {
  47.           "cluster1/destination1": {
  48.             "Address": "https://www.baidu.com/"
  49.           }
  50.         }
  51.       }
  52.     }
  53.   }
  54. }
复制代码
下篇文章我们继续 压缩缓存 或者再补一篇 请求和响应转换

免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!



欢迎光临 ToB企服应用市场:ToB评测及商务社交产业平台 (https://dis.qidao123.com/) Powered by Discuz! X3.4