在ASP.NET Core Web API中使用批量传输消息时如何对用户进行身份验证?

C#/.NET问题 得得之家
How to authenticate a user when consuming MassTransit messages in Asp.Net Core Web API?(在ASP.NET Core Web API中使用批量传输消息时如何对用户进行身份验证?)
本文介绍了在ASP.NET Core Web API中使用批量传输消息时如何对用户进行身份验证?的处理方法,对大家解决问题具有一定的参考价值,需要的朋友们下面随着小编来一起学习吧!

问题描述

我有几个ASP.NET Core WebAPI,它们使用持有者身份验证和IdentityServer4.AccessTokenValidation中间件来自省令牌、身份验证用户和创建声明。这适用于HTTP请求。

我正在使用RabbitMQ作为传输将这些API配置为MassTransfer端点(用于发布和消费消息)。我按照here的说明将MassTransport添加到API并设置消息使用者。典型的工作流程如下:

对API的HTTP请求>在MassTransport上发布消息>RabbitMQ>另一个API使用的消息

我很难理解的是,当从总线上消费消息时,如何创建ClaimsPrincipal,以便我知道代表哪个用户执行操作?如果它不是HTTP请求,则没有调用任何AuthenticationHandler。

我目前尝试的内容:

我想我应该通过在消息头中传递一个令牌(和/或单个声明值)来实现这一点。使用MassTransit.PublishContextExecuteExtensions.Publish发布邮件时,发布部件看起来很容易作为MassTransferallows adding any number of custom headers。这使我能够使用标识用户的信息将邮件放到传输上,并且可以通过手动查看标头(例如

)在消费者中查看此信息 
public class SomeEventConsumer : IConsumer<SomeEventData>
{
    public async Task Consume(ConsumeContext<SomeEventData> context)
    {
        var token = context.Headers["token"];
    }
}

此时,我可以获取令牌并手动调用Identity Server中的自检端点,但随后需要:

  1. 每次在每个用户中执行此操作,然后.
  2. ..。手动将该信息向下传递到逻辑类等,而不是使用IHttpContextAccessor.HttpContext.User.Claims或包装声明并使用依赖项注入。

为了寻址点%1,我创建了一个新的custom middleware.

public class AuthenticationFilter<T> : IFilter<ConsumeContext<T>> where T : class
{
    public void Probe(ProbeContext context)
    {
        var scope = context.CreateFilterScope("authenticationFilter");
    }

    public async Task Send(ConsumeContext<T> context, IPipe<ConsumeContext<T>> next)
    {
        var token = context.Headers.Where(x => x.Key == "token").Select(x => x.Value.ToString()).Single();

        // TODO: Call token introspection

        await next.Send(context);
    }
}

public class AuthenticationFilterSpecification<T> : IPipeSpecification<ConsumeContext<T>> where T : class
{
    public void Apply(IPipeBuilder<ConsumeContext<T>> builder)
    {
        var filter = new AuthenticationFilter<T>();
        builder.AddFilter(filter);
    }

    public IEnumerable<ValidationResult> Validate()
    {
        return Enumerable.Empty<ValidationResult>();
    }
}

public class AuthenticationFilterConfigurationObserver : ConfigurationObserver, IMessageConfigurationObserver
{
    public AuthenticationFilterConfigurationObserver(IConsumePipeConfigurator receiveEndpointConfigurator) : base(receiveEndpointConfigurator)
    {
        Connect(this);
    }

    public void MessageConfigured<TMessage>(IConsumePipeConfigurator configurator)
        where TMessage : class
    {
        var specification = new AuthenticationFilterSpecification<TMessage>();
        configurator.AddPipeSpecification(specification);
    }
}

public static class AuthenticationExtensions
{
    public static void UseAuthenticationFilter(this IConsumePipeConfigurator configurator)
    {
        if (configurator == null)
        {
            throw new ArgumentNullException(nameof(configurator));
        }

        _ = new AuthenticationFilterConfigurationObserver(configurator);
    }
}

..。然后将其添加到管道中.

IBusControl CreateBus(IServiceProvider serviceProvider)
{
    return Bus.Factory.CreateUsingRabbitMq(cfg =>
    {
        cfg.Host("rabbitmq://localhost");
        cfg.UseAuthenticationFilter();
        // etc ...
    });
}

这就是我被困的地方。我不知道如何针对请求范围对用户进行身份验证。如果它不是HTTP请求,我不确定这里的最佳实践是什么。如有任何建议或建议,我们将不胜感激。谢谢.

Pluralsight

我刚刚看了一个关于推荐答案的Kevin Dockx课程,它涵盖了Azure服务总线上的这个场景,但是同样的原则也适用于公共交通或使用消息总线的服务之间的任何其他异步通信。以下是指向该部分的链接:Securing Microservices in ASP.NET Core

Kevin的技术是将访问令牌(JWT)作为属性包含在总线消息中,然后使用IdentityModel在使用者中进行验证。

总结:

在生产者中:

  1. 从请求中获取访问令牌(例如HttpContext.GetUserAccessTokenAsync())。
  2. 发送前将其设置为邮件中的属性。

在消费者中:

  1. 使用IdentityModel获取IdP发现文档
  2. 从发现响应中提取公共签名密钥(这些密钥必须转换为RsaSecurityKey)
  3. 调用JwtSecurityTokenHandler.ValidateToken()验证消息中的JWT。如果成功,则返回ClaimsPrincipal

如果您担心访问令牌过期,您可以利用消息入队的日期时间作为使用者中令牌验证逻辑的一部分。

以下是验证器的工作方式(简化):

var discoveryDocumentResponse = await httpClient.GetDiscoveryDocumentAsync("https://my.authority.com");
            
var issuerSigningKeys = new List<SecurityKey>();

foreach (var webKey in discoveryDocumentResponse.KeySet.Keys)
{
    var e = Base64Url.Decode(webKey.E);
    var n = Base64Url.Decode(webKey.N);

    var key = new RsaSecurityKey(new RSAParameters
        { Exponent = e, Modulus = n })
                {
                        KeyId = webKey.Kid
                };

    issuerSigningKeys.Add(key);
}

var tokenValidationParameters = new TokenValidationParameters()
{
        ValidAudience = "my-api-audience",
        ValidIssuer = "https://my.authority.com",
        IssuerSigningKeys = issuerSigningKeys        
};

var claimsPrincipal = new JwtSecurityTokenHandler().ValidateToken(tokenToValidate,
                    tokenValidationParameters, out var rawValidatedToken);

return claimsPrincipal;

这篇关于在ASP.NET Core Web API中使用批量传输消息时如何对用户进行身份验证?的文章就介绍到这了,希望我们推荐的答案对大家有所帮助,也希望大家多多支持编程学习网!

本站部分内容来源互联网,如果有图片或者内容侵犯您的权益请联系我们删除!

相关文档推荐

尝试更新ViewModel中的Ui属性时DispatcherQueue为空
DispatcherQueue null when trying to update Ui property in ViewModel(尝试更新ViewModel中的Ui属性时DispatcherQueue为空)
在多个监视器上绘制所有窗口
Drawing over all windows on multiple monitors(在多个监视器上绘制所有窗口)
以编程方式显示桌面
Programmatically show the desktop(以编程方式显示桌面)
按类型访问对象的C#泛型集实现
c# Generic Setlt;Tgt; implementation to access objects by type(按类型访问对象的C#泛型集实现)
在ASP.NET核心中使用上下文注入时发生InvalidOperationException
InvalidOperationException When using Context Injection in ASP.Net Core(在ASP.NET核心中使用上下文注入时发生InvalidOperationException)
LINQ多对多关系,如何写一个正确的WHERE子句?
LINQ many-to-many relationship, how to write a correct WHERE clause?(LINQ多对多关系,如何写一个正确的WHERE子句?)
前端问题php问题Java问题Python问题C/C++问题C#/.NET问题移动开发问题数据库问题
html vue validate adobe dreamweaver hbuilder vscode aptana editor dedecms ckeditor 编辑器 过滤 规则 织梦 图片本地化 模板 缩略图 图集 图片删除 ajax 瀑布流 无限下拉 cms 判断 sql 清除 tag 文档数 angularjs2 按钮 切换效果 vue3 thinkphp yii2 css 项目列表 li go Beego Buffalo Echo Gin Iris Revel 百度云 虚拟主机 pbootcms 伪静态 框架 排序 数据库 对象 字段 sql语句 php 字符串 分割 D3.js bootstrap 函数 svg selectAll 织梦cms 关键词 解析 采集 长度限制 日期 正则表达式