目錄

Welcome to YARP - 1.認(rèn)識(shí)YARP并搭建反向代理服務(wù)

Welcome to YARP - 2.配置功能

• 2.1 - 配置文件（Configuration Files）
• 2.2 - 配置提供者（Configuration Providers）
• 2.3 - 配置過濾器（Configuration Filters）

Welcome to YARP - 3.負(fù)載均衡

Welcome to YARP - 4.限流

Welcome to YARP - 5.身份驗(yàn)證和授權(quán)

Welcome to YARP - 6.壓縮、緩存

Welcome to YARP - 7.健康檢查

Welcome to YARP - 8.分布式跟蹤

介紹

說到認(rèn)證和授權(quán)，相信還是有很多小伙伴把這兩個(gè)東西搞混掉，畢竟兩個(gè)單詞也是很相近，Authentication 和 Authorization。

• 身份驗(yàn)證 （我是誰？）是知道用戶的標(biāo)識(shí)。 例如，Alice 使用她的用戶名和密碼登錄，服務(wù)器使用該密碼對(duì) Alice 進(jìn)行身份驗(yàn)證。

  對(duì)于認(rèn)證的結(jié)果會(huì)存儲(chǔ)在 HttpContext.User 中。常見的認(rèn)證方式有：Cookie、JWT、Windows、等等，可參考 ASP.NET Core 身份驗(yàn)證概述

• 授權(quán) （我有什么權(quán)限？）決定是否允許用戶執(zhí)行操作。 例如，Alice 有權(quán)獲取資源，但無權(quán)創(chuàng)建資源。

  授權(quán)與身份驗(yàn)證相互獨(dú)立。 但是，授權(quán)需要一種身份驗(yàn)證機(jī)制。常見的授權(quán)策略有：基于角色的 RBAC，基于策略的PBAC等等，可參考 ASP.NET Core 授權(quán)簡(jiǎn)介

有了上述了解，接下來我們看 YARP 的 身份驗(yàn)證 和 授權(quán)

反向代理可用于在將請(qǐng)求代理到目標(biāo)服務(wù)器之前，對(duì)請(qǐng)求進(jìn)行身份驗(yàn)證和授權(quán)。這可以減少目標(biāo)服務(wù)器上的負(fù)載，增加一層保護(hù)，并確保在應(yīng)用程序中實(shí)施一致的策略。 接下來讓我們看下如何開啟認(rèn)證和授權(quán)。

如果有對(duì) .NET 本身的身份驗(yàn)證和授權(quán)功能不了解的小伙伴，可以先去微軟文檔了解一下(身份驗(yàn)證、授權(quán))，再回來看可能會(huì)容易理解。因?yàn)?YARP 就是使用的 .NET 的認(rèn)證和授權(quán)。提供策略，交給其中間件處理。

配置

可以通過 RouteConfig.AuthorizationPolicy 為每個(gè)路由指定授權(quán)策略，并且可以從配置文件的 Routes 各個(gè)部分進(jìn)行綁定。與其他路由屬性一樣，可以在不重新啟動(dòng)代理的情況下修改和重新加載此屬性。策略名稱不區(qū)分大小寫。

示例：

{
  "ReverseProxy": {
    "Routes": {
      "route1" : {
        "ClusterId": "cluster1",
        "AuthorizationPolicy": "customPolicy",
        "Match": {
          "Hosts": [ "localhost" ]
        },
      }
    },
    "Clusters": {
      "cluster1": {
        "Destinations": {
          "cluster1/destination1": {
            "Address": "https://localhost:10001/"
          }
        }
      }
    }
  }
}

授權(quán)策略使用的是 ASP.NET Core 的概念。代理提供上述配置來為每個(gè)路由指定一個(gè)策略，其余部分由現(xiàn)有的 ASP.NET Core 身份驗(yàn)證和授權(quán)組件處理。 是不是和上一章的限流是一個(gè)套路，都是 .NET 本身的功能，開箱即用。

配置授權(quán)策略，如下所示：

builder.Services.AddAuthorization(options =>
{
    options.AddPolicy("customPolicy", policy => policy.RequireAuthenticatedUser());
});


app.UseRouting();
app.UseAuthentication();
app.UseAuthorization();

app.MapReverseProxy();

要了解如何設(shè)置首選的身份驗(yàn)證類型，可以參閱身份驗(yàn)證文檔

特殊值（內(nèi)置策略）：

除了自定義策略名稱之外，還可以在路由的授權(quán)參數(shù)中指定兩個(gè)特殊值： default 和 anonymous 。這是兩個(gè)內(nèi)置的策略名稱，用于簡(jiǎn)化身份驗(yàn)證和授權(quán)配置。

• default 對(duì)應(yīng)于用戶已經(jīng)通過身份驗(yàn)證的情況。如果用戶已經(jīng)登錄，那么他們將滿足 default 策略的要求。這通常用于需要用戶已登錄的資源或操作。 在路由的授權(quán)參數(shù)中指定值 default 意味著路由將使用 AuthorizationOptions.DefaultPolicy 中定義的策略。該策略已預(yù)先配置為要求經(jīng)過身份驗(yàn)證的用戶。

示例用法：

app.MapGet("/default", () =>
{
    return "hello";
}).RequireAuthorization();// 將具有指定名稱的授權(quán)策略添加到終結(jié)點(diǎn)?？?代表使用 default 策略

上述的RequireAuthorization() 方法沒給參數(shù) 默認(rèn)就是用了 default 策略，已登錄的用戶才能通過驗(yàn)證。 而且還可以指定多個(gè)策略。他接收的是一個(gè) params string[] policyNames 參數(shù)，你還可以添加其他策略。

YARP 中用法：

"Routes": {
      "DefaultAuthRoute": {
        "ClusterId": "cluster1",
        // 此路由使用內(nèi)置的默認(rèn)授權(quán)策略，該策略要求經(jīng)過身份驗(yàn)證的用戶
        "AuthorizationPolicy": "Default",
        "Match": {
          "Path": "/default"
        }
      }
}

• anonymous 對(duì)應(yīng)于未經(jīng)身份驗(yàn)證的用戶，即匿名用戶。如果用戶沒有登錄，他們將滿足 anonymous 策略的要求。這通常用于允許未經(jīng)身份驗(yàn)證的用戶訪問資源或操作。 在路由的 authorization 參數(shù)中指定值 anonymous 意味著無論應(yīng)用程序中的任何其他配置（如 FallbackPolicy）如何，路由都不需要授權(quán)。

示例用法：

app.MapGet("/public", () =>
{
	return "hello";
}).AllowAnonymous();

YARP 中用法：

"Routes": {
      "AnonymousRoute": {
        "ClusterId": "cluster1",
        // 此路由使用內(nèi)置的默認(rèn)授權(quán)策略，該策略要求經(jīng)過身份驗(yàn)證的用戶
        "AuthorizationPolicy": "Anonymous",
        "Match": {
          "Path": "/open/{*any}"
        }
      }
}

FallbackPolicy 回退策略

AuthorizationOptions.FallbackPolicy 用于處理未指定任何特定策略的路由。這是一個(gè)全局默認(rèn)策略，如果路由沒有指定特定策略，就會(huì)使用這個(gè)策略。通常情況下，FallbackPolicy 會(huì)采用默認(rèn)策略，要求用戶已通過身份驗(yàn)證。

示例用法：

builder.Services.AddAuthorization(options =>
{
    options.FallbackPolicy = new AuthorizationPolicyBuilder()
        .RequireAuthenticatedUser() // 默認(rèn)情況下，要求用戶已通過身份驗(yàn)證. 可以提成你需要的驗(yàn)證
        .Build();
});

YARP 中用法：

"Routes": {
      "Other": {
        // 由于以下路由未定義授權(quán)策略，因此使用回退策略
        "ClusterId": "cluster1",
        "Match": {
          "Path": "{**catchall}"
        }
      }
}

Flowing Credentials 流動(dòng)憑證

即使在代理中授權(quán)了請(qǐng)求后，目標(biāo)服務(wù)器可能仍需要知道用戶是誰（身份驗(yàn)證）以及允許他們執(zhí)行的操作（授權(quán)）。如何傳遞該信息將取決于所使用的身份驗(yàn)證類型。

Cookie, bearer, API keys

這些身份驗(yàn)證類型已經(jīng)在請(qǐng)求頭中傳遞了它們的值，默認(rèn)情況下這些值將流到目標(biāo)服務(wù)器。該服務(wù)器仍然需要驗(yàn)證和解釋這些值，這可能會(huì)造成一些雙重工作（代理也校驗(yàn)，目標(biāo)服務(wù)也校驗(yàn)）

Windows, Negotiate, NTLM, Kerbereos

這些身份驗(yàn)證類型通常綁定到特定連接。不支持將它們作為在 YARP 代理后面的目標(biāo)服務(wù)器中對(duì)用戶進(jìn)行身份驗(yàn)證的方法（參見 #166。它們可用于對(duì)代理的傳入請(qǐng)求進(jìn)行身份驗(yàn)證，但該身份信息必須以另一種形式傳達(dá)給目標(biāo)服務(wù)器。它們還可用于向目標(biāo)服務(wù)器驗(yàn)證代理，但只能作為代理自己的用戶，不支持模擬客戶端（ YARP 無法代表客戶端進(jìn)行目標(biāo)服務(wù)器的身份驗(yàn)證）

Client Certificates 客戶端證書

客戶端證書是一項(xiàng) TLS 功能，作為連接的一部分進(jìn)行協(xié)商。有關(guān)其他信息，請(qǐng)參閱這些文檔?？梢允褂?ClientCert 轉(zhuǎn)換將證書作為 HTTP 標(biāo)頭轉(zhuǎn)發(fā)到目標(biāo)服務(wù)器。

替換身份驗(yàn)證類型

像 Windows 這樣不自然流到目標(biāo)服務(wù)器的身份驗(yàn)證類型需要在代理中轉(zhuǎn)換為其他形式。例如，可以使用用戶信息創(chuàng)建 JWT 承載令牌，并在代理請(qǐng)求上進(jìn)行設(shè)置。

可以使用自定義請(qǐng)求轉(zhuǎn)換來執(zhí)行這些交換（看起來又要加一章 請(qǐng)求轉(zhuǎn)換 的篇章了 ）。如果你有足夠的興趣，可以針對(duì)特定場(chǎng)景開發(fā)詳細(xì)示例，反饋給 YARP 讓他們了解您希望如何轉(zhuǎn)換和流動(dòng)身份信息的。

總結(jié)

本章我們介紹了 YARP 的認(rèn)證和授權(quán)功能，概念比較多，此功能還是主要依賴于.NET 本身的認(rèn)證和授權(quán)。如果有不了的可以先從微軟文檔學(xué)起，看起來相對(duì)會(huì)簡(jiǎn)單一些。本章建議結(jié)合示例代碼一起看理解起來會(huì)比較方便，示例代碼已上傳GitHub
本章示例完整配置如下：

{
  "Logging": {
    "LogLevel": {
      "Default": "Information",
      "Microsoft.AspNetCore": "Warning"
    }
  },
  "AllowedHosts": "*",
  "ReverseProxy": {
    "Routes": {
      "DefaultAuthRoute": {
        "ClusterId": "cluster1",
        // 此路由使用內(nèi)置的默認(rèn)授權(quán)策略，該策略要求經(jīng)過身份驗(yàn)證的用戶
        "AuthorizationPolicy": "Default",
        "Match": {
          "Path": "/default"
        }
      },
      "ClaimsAuthRoute": {
        "ClusterId": "cluster1",
        // 自定義策略
        "AuthorizationPolicy": "myPolicy",
        "Match": {
          "Path": "/custom/{*any}"
        }
      },
      "AnonymousRoute": {
        "ClusterId": "cluster1",
        // 此路由使用內(nèi)置的默認(rèn)授權(quán)策略，該策略要求經(jīng)過身份驗(yàn)證的用戶
        "AuthorizationPolicy": "Anonymous",
        "Match": {
          "Path": "/open/{*any}"
        }
      },
      "Other": {
        // 由于以下路由未定義授權(quán)策略，因此使用回退策略
        // 程序中 設(shè)置為null，因此不需要身份驗(yàn)證或聲明。
        "ClusterId": "cluster1",
        "Match": {
          "Path": "{**catchall}"
        }
      }
    },
    "Clusters": {
      "cluster1": {
        "Destinations": {
          "cluster1/destination1": {
            "Address": "https://www.baidu.com/"
          }
        }
      }
    }
  }
}

下篇文章我們繼續(xù) 壓縮 和 緩存 或者再補(bǔ)一篇 請(qǐng)求和響應(yīng)轉(zhuǎn)換。

總結(jié)

以上是生活随笔為你收集整理的Welcome to YARP - 5.身份验证和授权的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。