Welcome to YARP - 5.身份验证和授权
目錄
Welcome to YARP - 1.認識YARP并搭建反向代理服務
Welcome to YARP - 2.配置功能
- 2.1 - 配置文件(Configuration Files)
- 2.2 - 配置提供者(Configuration Providers)
- 2.3 - 配置過濾器(Configuration Filters)
Welcome to YARP - 3.負載均衡
Welcome to YARP - 4.限流
Welcome to YARP - 5.身份驗證和授權
Welcome to YARP - 6.壓縮、緩存
Welcome to YARP - 7.健康檢查
Welcome to YARP - 8.分布式跟蹤
介紹
說到認證和授權,相信還是有很多小伙伴把這兩個東西搞混掉,畢竟兩個單詞也是很相近,Authentication 和 Authorization。
-
身份驗證 (我是誰?)是知道用戶的標識。 例如,Alice 使用她的用戶名和密碼登錄,服務器使用該密碼對 Alice 進行身份驗證。
對于認證的結果會存儲在
HttpContext.User中。常見的認證方式有:Cookie、JWT、Windows、等等,可參考 ASP.NET Core 身份驗證概述 -
授權 (我有什么權限?)決定是否允許用戶執行操作。 例如,Alice 有權獲取資源,但無權創建資源。
授權與身份驗證相互獨立。 但是,授權需要一種身份驗證機制。常見的授權策略有:基于角色的 RBAC,基于策略的PBAC等等,可參考 ASP.NET Core 授權簡介
有了上述了解,接下來我們看 YARP 的 身份驗證 和 授權
反向代理可用于在將請求代理到目標服務器之前,對請求進行身份驗證和授權。這可以減少目標服務器上的負載,增加一層保護,并確保在應用程序中實施一致的策略。 接下來讓我們看下如何開啟認證和授權。
如果有對 .NET 本身的身份驗證和授權功能不了解的小伙伴,可以先去微軟文檔了解一下(身份驗證、授權),再回來看可能會容易理解。因為 YARP 就是使用的 .NET 的認證和授權。提供策略,交給其中間件處理。
配置
可以通過 RouteConfig.AuthorizationPolicy 為每個路由指定授權策略,并且可以從配置文件的 Routes 各個部分進行綁定。與其他路由屬性一樣,可以在不重新啟動代理的情況下修改和重新加載此屬性。策略名稱不區分大小寫。
示例:
{
"ReverseProxy": {
"Routes": {
"route1" : {
"ClusterId": "cluster1",
"AuthorizationPolicy": "customPolicy",
"Match": {
"Hosts": [ "localhost" ]
},
}
},
"Clusters": {
"cluster1": {
"Destinations": {
"cluster1/destination1": {
"Address": "https://localhost:10001/"
}
}
}
}
}
}
授權策略使用的是 ASP.NET Core 的概念。代理提供上述配置來為每個路由指定一個策略,其余部分由現有的 ASP.NET Core 身份驗證和授權組件處理。 是不是和上一章的限流是一個套路,都是 .NET 本身的功能,開箱即用。
配置授權策略,如下所示:
builder.Services.AddAuthorization(options =>
{
options.AddPolicy("customPolicy", policy => policy.RequireAuthenticatedUser());
});
app.UseRouting();
app.UseAuthentication();
app.UseAuthorization();
app.MapReverseProxy();
要了解如何設置首選的身份驗證類型,可以參閱身份驗證文檔
特殊值(內置策略):
除了自定義策略名稱之外,還可以在路由的授權參數中指定兩個特殊值: default 和 anonymous 。這是兩個內置的策略名稱,用于簡化身份驗證和授權配置。
-
default 對應于用戶已經通過身份驗證的情況。如果用戶已經登錄,那么他們將滿足
default策略的要求。這通常用于需要用戶已登錄的資源或操作。 在路由的授權參數中指定值default意味著路由將使用 AuthorizationOptions.DefaultPolicy 中定義的策略。該策略已預先配置為要求經過身份驗證的用戶。
示例用法:
app.MapGet("/default", () =>
{
return "hello";
}).RequireAuthorization();// 將具有指定名稱的授權策略添加到終結點。空 代表使用 default 策略
上述的RequireAuthorization() 方法沒給參數 默認就是用了 default 策略,已登錄的用戶才能通過驗證。 而且還可以指定多個策略。他接收的是一個 params string[] policyNames 參數,你還可以添加其他策略。
YARP 中用法:
"Routes": {
"DefaultAuthRoute": {
"ClusterId": "cluster1",
// 此路由使用內置的默認授權策略,該策略要求經過身份驗證的用戶
"AuthorizationPolicy": "Default",
"Match": {
"Path": "/default"
}
}
}
-
anonymous 對應于未經身份驗證的用戶,即匿名用戶。如果用戶沒有登錄,他們將滿足
anonymous策略的要求。這通常用于允許未經身份驗證的用戶訪問資源或操作。 在路由的 authorization 參數中指定值anonymous意味著無論應用程序中的任何其他配置(如 FallbackPolicy)如何,路由都不需要授權。
示例用法:
app.MapGet("/public", () =>
{
return "hello";
}).AllowAnonymous();
YARP 中用法:
"Routes": {
"AnonymousRoute": {
"ClusterId": "cluster1",
// 此路由使用內置的默認授權策略,該策略要求經過身份驗證的用戶
"AuthorizationPolicy": "Anonymous",
"Match": {
"Path": "/open/{*any}"
}
}
}
FallbackPolicy 回退策略
AuthorizationOptions.FallbackPolicy 用于處理未指定任何特定策略的路由。這是一個全局默認策略,如果路由沒有指定特定策略,就會使用這個策略。通常情況下,FallbackPolicy 會采用默認策略,要求用戶已通過身份驗證。
示例用法:
builder.Services.AddAuthorization(options =>
{
options.FallbackPolicy = new AuthorizationPolicyBuilder()
.RequireAuthenticatedUser() // 默認情況下,要求用戶已通過身份驗證. 可以提成你需要的驗證
.Build();
});
YARP 中用法:
"Routes": {
"Other": {
// 由于以下路由未定義授權策略,因此使用回退策略
"ClusterId": "cluster1",
"Match": {
"Path": "{**catchall}"
}
}
}
Flowing Credentials 流動憑證
即使在代理中授權了請求后,目標服務器可能仍需要知道用戶是誰(身份驗證)以及允許他們執行的操作(授權)。如何傳遞該信息將取決于所使用的身份驗證類型。
Cookie, bearer, API keys
這些身份驗證類型已經在請求頭中傳遞了它們的值,默認情況下這些值將流到目標服務器。該服務器仍然需要驗證和解釋這些值,這可能會造成一些雙重工作(代理也校驗,目標服務也校驗)
Windows, Negotiate, NTLM, Kerbereos
這些身份驗證類型通常綁定到特定連接。不支持將它們作為在 YARP 代理后面的目標服務器中對用戶進行身份驗證的方法(參見 #166。它們可用于對代理的傳入請求進行身份驗證,但該身份信息必須以另一種形式傳達給目標服務器。它們還可用于向目標服務器驗證代理,但只能作為代理自己的用戶,不支持模擬客戶端( YARP 無法代表客戶端進行目標服務器的身份驗證)
Client Certificates 客戶端證書
客戶端證書是一項 TLS 功能,作為連接的一部分進行協商。有關其他信息,請參閱這些文檔。可以使用 ClientCert 轉換將證書作為 HTTP 標頭轉發到目標服務器。
替換身份驗證類型
像 Windows 這樣不自然流到目標服務器的身份驗證類型需要在代理中轉換為其他形式。例如,可以使用用戶信息創建 JWT 承載令牌,并在代理請求上進行設置。
可以使用自定義請求轉換來執行這些交換(看起來又要加一章 請求轉換 的篇章了 )。如果你有足夠的興趣,可以針對特定場景開發詳細示例,反饋給 YARP 讓他們了解您希望如何轉換和流動身份信息的。
總結
本章我們介紹了 YARP 的認證和授權功能,概念比較多,此功能還是主要依賴于.NET 本身的認證和授權。如果有不了的可以先從微軟文檔學起,看起來相對會簡單一些。本章建議結合示例代碼一起看理解起來會比較方便,示例代碼已上傳GitHub
本章示例完整配置如下:
{
"Logging": {
"LogLevel": {
"Default": "Information",
"Microsoft.AspNetCore": "Warning"
}
},
"AllowedHosts": "*",
"ReverseProxy": {
"Routes": {
"DefaultAuthRoute": {
"ClusterId": "cluster1",
// 此路由使用內置的默認授權策略,該策略要求經過身份驗證的用戶
"AuthorizationPolicy": "Default",
"Match": {
"Path": "/default"
}
},
"ClaimsAuthRoute": {
"ClusterId": "cluster1",
// 自定義策略
"AuthorizationPolicy": "myPolicy",
"Match": {
"Path": "/custom/{*any}"
}
},
"AnonymousRoute": {
"ClusterId": "cluster1",
// 此路由使用內置的默認授權策略,該策略要求經過身份驗證的用戶
"AuthorizationPolicy": "Anonymous",
"Match": {
"Path": "/open/{*any}"
}
},
"Other": {
// 由于以下路由未定義授權策略,因此使用回退策略
// 程序中 設置為null,因此不需要身份驗證或聲明。
"ClusterId": "cluster1",
"Match": {
"Path": "{**catchall}"
}
}
},
"Clusters": {
"cluster1": {
"Destinations": {
"cluster1/destination1": {
"Address": "https://www.baidu.com/"
}
}
}
}
}
}
下篇文章我們繼續 壓縮 和 緩存 或者再補一篇 請求和響應轉換。
總結
以上是生活随笔為你收集整理的Welcome to YARP - 5.身份验证和授权的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: Kubernetes: kube-api
- 下一篇: 接口开放太麻烦?试试阿里云API网关吧