微服务架构如何设计API代理网关和OAuth2授权认证框架（微服务api权限控制）

我来看看 · 发表于 2023-03-06 21:42:55

1，授权认证与微服务架构1.1，由不同团队合作引发的授权认证问题去年的时候，公司开发一款新产品，但人手不够，将B/S系统的Web开发外包，外包团队使用Vue.js框架，调用我们的WebAPI，但是这些WebAPI并不在一台服务器上，甚至可能是第三方提供的WebAPI。

同时处于系统安全的架构设计，后端WebAPI是不能直接暴露在外面的；另一方面，我们这个新产品还有一个C/S系统，C端登录的时候，要求统一到B/S端登录，可以从C端无障碍的访问任意B/S端的页面，也可以调用B/S系统的一些API，所以又增加了一个API网关代理。

整个系统的架构示意图如下：

注：上图还有一个iMSF，这是一个实时消息服务框架，这里用来做文件服务，参见《消息服务框架使用案例之--大文件上传（断点续传）功能》在Web端会读取这些上传的文件1.2，微服务--分布式“最彻底”的分1.2.1，为什么需要分布式

大部分情况下，如果你的系统不是很复杂，API和授权认证服务，文件服务都可以放到一台服务器：Web Port 服务器上，但要把它们分开部署到不同的站点，或者不同的服务器，主要是出于以下考虑：1，职责单一：每一个服务都只做一类工作，比如某某业务WebAPI，授权服务，用户身份认证服务，文件服务等；职责单一使得开发、部署和维护变得容易，比如很容易知道当前是授权服务的问题，而不是业务API问题。

2，系统安全：采用内外网隔离的方案，一些功能需要直接暴露在公网，这需要付出额外的成本，比如带宽租用和安全设施；另外一些功能部署在内网，这样能够提供更大的安全保证3，易于维护：每一个服务职责都比较单一，所以每一个服务都足够小，那么开发维护就更容易，比如要更新一个功能，只需要更新一个服务而不用所有服务器都暂停；另一方面也更加容易监控服务器的负载，如果发现某一个服务器负载太大可以增加服务器来分散负载。

4，第三方接入：现在系统越来越复杂，内部的系统很可能需要跟第三方的系统对接，一起协同工作；或者整个系统一部分是 .NET开发的，一部分又是Java平台开发的，两个平台部署的环境有很大差异，没法部署在一起；或者虽然同是ASP.NET MVC，但是一个是MVC３，一个是MVC５，所以需要分别独立部署。

以上就是各个服务需要分开部署的原因，而这样做的结果就是我们常说的分布式计算了，这是自然需求的结果，不是为了分而拆分1.2.2，依赖于中间层而不直接依赖于服务客户端直接访问后端服务，对后端的服务会形成比较强的依赖。

有架构经验的朋友都知道，解决依赖的常见手段就是添加一个中间层，客户端依赖于这个中间层而不是直接依赖于服务层这样做有几个很大的好处：当服务负载过大的时候可以在中间层做负载均衡；或者后端某个服务出现问题可以切换主备服务;

或者替换后端某个服务的版本做灰度发布另一方面，当后端服务部署为多个独立的进程/服务器后，客户端直接访问这些服务，将是一个更加较复杂的问题,负载均衡，主备切换，灰度发布等运维功能更难操作，除此之外，还有下面两个比较重要的问题：。

客户端直接访问后端多个服务，将暴露过多的后端服务器地址，从而增加安全隐患；后端服务太多，需要在客户端维护这些服务访问关系，增加开发调试的复杂性；B/S页面的AJax跨域问题，WebAPI地址跟主站地址不一样，要解决跨域问题比较复杂并且也会增加安全隐患。

所以，为了解决客户端对后端服务层的依赖，并且解决后端服务太多以后引起的问题，我们需要在客户端和后端服务层之间添加一个中间层，这个中间层就是我们的服务代理层，也就是我们后面说的服务网关代理（WebAPI Gateway Proxy），它作为我们所有Web访问的入口站点，这就是上图所示的 Web Port。

有了网关代理，后台所有的WebAPI都可以通过这个统一的入口提供对外服务的功能，而对于后端不同服务地址的路由，由网关代理的路由功能来实现，所以这个代理功能很像Nginx这样的反向代理，只不过，这里仅仅代理WebAPI，而不是其它Web资源。

现在，网关已经成为很多分布式系统的标配，比如TX的这个架构：

注：上图来源于网络，侵删！另外，这个读写分离代理，如果使用SOD框架，可以在AdoHelper对象直接设置读写不同的连接字符串简单达到效果1.2.3，微服务架构经过上面的设计，我们发现这个架构有几个特点：。

每个服务足够小，职责单一；每个服务运行在自己的进程或者独立的服务器中，独立发布部署和开发维护；服务对外提供访问或者服务之间进行通信，都是使用轻量级的HTTP API;每个服务有自己独立的存储，彼此之间进行数据交互都通过接口进行；

有一个API代理网关统一提供服务的对外访问这些特点是非常符合现在流行的微服务思想的，比如在《什么是微服务》这篇文章中，像下面说的这样：微服务最早由Martin Fowler与James Lewis于2014年共同提出，微服务架构风格是一种使用一套小服务来开发单个应用的方式途径，每个服务运行在自己的进程中， w4 a. c" ^* L1 X8 i; | 并使用轻量级机制通信，通常是HTTP API，这些服务基于业务能力构建，并能够通过自动化部署机制来独立部署，这些服务使用不同的编程语言实现，以及不同数据存储技术，7 u' ]. E( Y" s3 C. [, ^* G2 ^5 C 并保持最低限度的集中式管理。

所以我们这个架构是基本符合微服务思想的，它的诞生背景也是要解决其它传统单体软件项目现在遇到的问题一样的，是在比较复杂的实际需求环境下自然而然的一种需求，不过好在它没有过多的“技术债务”，所以设计实施起来比较容易。

下面我们来详细看看这个架构是如何落地的2，“授权\认证\资源”独立服务的OAuth2.0架构2.1，为什么需要OAuth2.0 ?OAuth 2.0已经是一个“用户验证和授权”的工业级标准OAuth（开放授权）是一个开放标准，1.0版本于2006年创立，它允许用户让第三方应用访问该用户在某一网站上存储的私密的资源（如照片，视频，联系人列表），而无需将用户名和密码提供给第三方应用。

OAuth 2.0关注客户端开发者的简易性，同时为Web应用，桌面应用和手机，和起居室设备提供专门的认证流程2012年10月，OAuth 2.0协议正式发布为RFC 6749以上内容详见OAuth 2.0官网。

现在百度开放平台，腾讯开放平台等大部分的开放平台都是使用的OAuth 2.0协议作为支撑，国内越来越多的企业都开始支持OAuth2.0协议现在，我们的产品设计目标是要能够和第三方系统对接，那么在对接过程中的授权问题就是无法回避的问题。

在我们原来的产品中，有用户授权验证的模块，但并没有拆分出独立的服务，用它与第三方系统对接会导致比较大的耦合性；另一方面，与第三方系统对接合作不一定每次都是以我们为主导，也有可能要用第三方的授权认证系统这就出现了选择哪一方的授权认证方案的问题。

之前我曾经经历过一个项目，因为其中的授权认证问题导致系统迟迟不能集成所以，选择一个开放标准的授权认证方案，才是最佳的解决方案，而OAuth 2.0正是这样的方案2.2，OAuth的名词解释和规范（1）Third-party application：第三方应用程序，本文中又称”客户端”（client），即上一节例子中的“Web Port”或者C/S客户端应用程序。

（2）HTTP service：HTTP服务提供商，即上一节例子中提供软件产品的我们公司或者第三方公司（3）Resource Owner：资源所有者，本文中又称“用户”（user）（4）User Agent：用户代理，本文中就是指浏览器或者C/S客户端应用程序。

（5）Authorization server：授权服务器，即服务提供商专门用来处理认证的服务器（6）Resource server：资源服务器，即服务提供商存放用户生成的资源的服务器，即上一节例子中的内部API服务器、第三方外部API服务器和文件服务器等。

它与认证服务器，可以是同一台服务器，也可以是不同的服务器以上名词是OAuth规范内必须理解的一些名词，然后我们才能方便的讨论OAuth2.0是如何授权的有关OAuth的思路、运行流程和详细的四种授权模式，请参考阮一峰老师的《理解OAuth 2.0》。

2.3，OAuth2.0的授权模式为了表述方便，先简单说说这4种授权模式：授权码模式（authorization code）--是功能最完整、流程最严密的授权模式它的特点就是通过客户端的后台服务器，与"服务提供商"的认证服务器进行互动。

简化模式（implicit）--不通过第三方应用程序的服务器，直接在浏览器中向认证服务器申请令牌，跳过了"授权码"这个步骤，因此得名所有步骤在浏览器中完成，令牌对访问者是可见的，且客户端不需要认证密码模式（resource owner password credentials）--用户向客户端提供自己的用户名和密码。

客户端使用这些信息，向"服务商提供商"索要授权在这种模式中，用户必须把自己的密码给客户端，但是客户端不得储存密码客户端模式（client credentials）--指客户端以自己的名义，而不是以用户的名义，向"服务提供商"进行认证。

严格地说，客户端模式并不属于OAuth框架所要解决的问题在这种模式中，用户直接向客户端注册，客户端以自己的名义要求"服务提供商"提供服务，其实不存在授权问题在我们的需求中，用户不仅仅通过B/S系统的浏览器进行操作，还会通过C/S程序的客户端进行操作，B/S，C/S系统主要都是我们提供和集成的，客户购买了我们这个产品要使用它就意味着客户信任我们的产品。

授权码模式虽然是最完整的授权模式，但是授权码模式授权完成后需要浏览器的跳转，显然浏览器无法直接跳转到我们的C/S客户端，虽然从技术上可以模拟，但实现起来成本还是比较高；简化模式也有这个问题所以我们最终决定采用OAuth2.0的密码模式。

2.4，OAuth2.0密码模式授权流程简单来说，密码模式的步骤如下：用户向客户端提供用户名和密码客户端将用户名和密码发给认证服务器，向后者请求令牌认证服务器确认无误后，向客户端提供访问令牌上面这个步骤只是说明了令牌的获取过程，也就是我们常说用户登陆成功的过程。

当用户登陆成功之后，客户端得到了一个访问令牌，然后再使用这个令牌去访问资源服务器，具体说来还有如下后续过程：4，客户端携带此访问令牌，访问资源服务器；5，资源服务器去授权服务器验证客户端的访问令牌是否有效；

6，如果访问令牌有效，授权服务器给资源服务器发送用户标识信息；7，资源服务器根据用户标识信息，处理业务请求，最后发送响应结果给客户端。下面是流程图：

注意：这个流程适用于资源服务器、授权服务器相分离的情况，否则，流程中的第5，6步不是必须的，甚至第4，7步都是显而易见的事情而不必说明现在大部分有关OAuth2.0的介绍文章都没有4，5，6，7步骤的说明，可能为了表述方便，默认都是将授权服务器跟资源服务器合在一起部署的。

2.5，授权、认证与资源服务的分离什么情况下授权服务器跟资源服务器必须分开呢？如果一个系统有多个资源服务器并且这些资源服务器的框架版本不兼容，运行环境有差异，代码平台不同（比如一个是.NET，一个是Java），或者一个是内部系统，一个是外部的第三方系统，必须分开部署。

在这些情况下，授权服务器跟任意一个资源服务器部署在一起都不利于另一些资源服务器的使用，导致系统集成成本增加这个时候，授权服务器必须跟资源服务器分开部署，我们在具体实现OAuth2.0系统的时候，需要做更多的事情。

什么情况下授权服务器跟认证服务器必须分开呢？授权（authorization）和认证（authentication）有相似之处，但也是两个不同的概念：授权（authorization）：授权，批准;批准（或授权）的证书；

认证（authentication）：认证;身份验证;证明，鉴定;密押仅仅从这两个词的名词定义可能不太容易分辨，我们用实际的例子来说明他们的区别：有一个管理系统，包括成熟的人员管理，角色管理，权限管理，系统登录的时候，用户输入的用户名和密码到系统的人员信息表中查询，通过后取得该用户的角色权限。

在这个场景中，用户登录系统实际上分为了3个步骤：用户在登录界面，输入用户名和密码，提交登录请求；【认证】系统校验用户输入的用户名和密码是否在人员信息表中；【授权】给当前用户授予相应的角色权限现在，该管理系统需要和第三方系统对接，根据前面的分析，这种情况下最好将授权功能独立出来，采用OAuth这种开放授权方案，而认证问题，原有管理系统坚持用户信息是敏感信息，不能随意泄露给第三方，要求在原来管理系统完成认证。

这样一来，授权和认证，只好分别作为两个服务，独立部署实现了本文的重点就是讲述如何在授权服务器和资源服务器相分离，甚至授权和认证服务器相分离的情况下，如何设计实现OAuth2.0的问题3，PWMIS OAuth2.0 方案。

PWMIS OAuth2.0 方案就是一个符合上面要求的授权与认证相分离，授权与资源服务相分离的架构设计方案，该方案已经成功支撑了我们产品的应用下面分别来说说该方案是如何设计和落地的3.1，使用Owin中间件搭建OAuth2.0认证授权服务器。

这里主要总结下本人在这个产品中搭建OAuth2.0服务器工作的经验至于为何需要OAuth2.0、为何是Owin、什么是Owin等问题，不再赘述我假定读者是使用Asp.Net,并需要搭建OAuth2.0服务器,对于涉及的Asp.Net Identity(Claims Based Authentication)、Owin、OAuth2.0等知识点已有基本了解。

若不了解，请先参考以下文章：MVC5 - ASP.NET Identity登录原理 - Claims-based认证和OWIN下一代Asp.net开发规范OWIN（1）—— OWIN产生的背景以及简单介绍

OWIN OAuth 2.0 Authorization Server我们的工作，可以从研究《OWIN OAuth 2.0 Authorization Server》这个DEMO开始，不过为了更好的结合本文的主题，实现授权与认证相分离的微服务架构，推荐大家直接从我的DEMO开始：https://github.com/bluedoctor/PWMIS.OAuth2.0

PS：大家觉得好，先点个赞支持下，谢谢！克隆我这个DEMO到本地，下面开始我们OAuth2.0如何落地的正式讲解3.2，PWMIS.OAuth2.0解决方案介绍首先看到解决方案视图，先逐个做下简单说明：。

3.2.1，运行解决方案将解决方案的项目，除了PWMIS.OAuth2.Tools，全部设置为启动项目，启动之后，在 http://localhost:62424/ 站点，输入下面的地址：http://localhost:62424/Home

然后就可以看到下面的界面：

点击登录页面，为了方便演示，不真正验证用户名和密码，所以随意输入，提交后结果如下图：

点击确定，进入了业务操作页面，如下图：

如果能够看到这个页面，我们的OAuth2.0演示程序就成功了。还可以运行解决方案里面的WinForm测试程序，先登录，然后运行性能测试，如下图：

更多信息，请参考下文的【3.8集成C/S客户端访问】下面我们来看看各个程序集项目的构建过程3.3，项目 PWMIS.OAuth2.AuthorizationCenter首先添加一个MVC5项目PWMIS.OAuth2.AuthorizationCenter，然后添加如下包引用：。

Microsoft.AspNet.MvcMicrosoft.Owin.Host.SystemWebMicrosoft.Owin.Security.OAuthMicrosoft.Owin.Security

.Cookies然后在项目根目录下添加一个OWin的启动类 Startup：using Microsoft.Owin; 6 w9 N/ X/ b4 ~% Q) @ using Microsoft.Owin.Security;7 Q2 S- S/ R y7 u. b6 |% G0 v using Microsoft.Owin.Security.OAuth;% m& p" k2 w* x( c; w2 U) P# T

using Owin; - A& f5 v; D8 ^* z- Q using System;% ]- \: a! U* \* i using System.Collections.Generic;4 b. t' d* c3 U% p8 R+ X/ o3 m using System.Diagnostics;1 ~9 u- K) d/ z0 E using System.Web.Http; 9 N) J* A4 H; @' M/ s o! l ] " D, n2 w8 a$ k; M5 V- E- d3 Q: K

namespacePWMIS.OAuth2.AuthorizationCenter ; @. z! Y7 f& p: e) Y0 `/ H# h { . N+ [" r. n9 e% U publicpartialclassStartup. @* w: N" Z- c; C0 X4 y {' s' K0 }0 C# F9 ~ publicvoidConfigureAuth

(IAppBuilder app)( O! [. T- I7 Z: ^6 \9 |, O) r {( x/ S8 b! K0 j" h5 M var OAuthOptions = new OAuthAuthorizationServerOptions # a$ H3 z: ^" V4 O { 9 U4 f) o, G- U' T8 ~ AllowInsecureHttp =

true, ( z5 R! _- [" T4 Q8 ]& `0 f1 W, X AuthenticationMode = AuthenticationMode.Active,/ q; S1 y) o" b& L TokenEndpointPath =

new PathString("/api/token"), //获取 access_token 授权服务请求地址' Z# E' x5 g/ _/ F( b AuthorizeEndpointPath = new PathString(

"/authorize"), //获取 authorization_code 授权服务请求地址 N* B/ j2 `( x4 Y2 r AccessTokenExpireTimeSpan = TimeSpan.FromSeconds(

60), //access_token 过期时间，默认10秒太短 ; \* r/ E5 ] z" a& S* h1 \ . W* G: g+ X9 ]2 i Provider = new OpenAuthorizationServerProvider(), //access_token 相关授权服务

0 B; R" }/ p4 u2 a; m; T AuthorizationCodeProvider = new OpenAuthorizationCodeProvider(), //authorization_code 授权服务

9 ? t4 O5 w/ ?' i- c5 [4 _ RefreshTokenProvider = new OpenRefreshTokenProvider() //refresh_token 授权服务/ Y8 w8 @+ b9 w8 _5 L7 ~ };5 d$ \/ |: y) V, y4 D- d$ x1 h app.UseOAuthBearerTokens(OAuthOptions);

//表示 token_type 使用 bearer 方式 ! h; [) q* Z. S( ` } - O4 d( C' l3 V8 z% h4 K( m: y% G5 g! X2 D2 u9 |% U2 }0 k' ? publicvoidConfiguration(IAppBuilder app)4 ~/ s4 N* f9 F: x* |% s% N8 m6 J {+ }+ N( L8 x/ z( |$ ?

// For more information on how to configure your application, visit http://go.microsoft.com/fwlink/?LinkID=316888

, M/ {/ d' j6 g9 X( I ConfigureAuth(app); ) |2 _. W5 b( E8 ]6 n" | 5 q' n; M& X' `& a' a var configuration = new HttpConfiguration(); ' T L" G6 L1 c, @3 X2 B" Y WebApiConfig.Register(configuration);8 `) D" [# E; _$ k3 Q" S app.UseWebApi(configuration);: ?4 H2 \. \' n- }/ _ 4 [9 v J# z6 o) }* I7 ] }' ^: U$ V' X8 F2 @ I* N/ r # | x& v0 | I' ~$ Y } - M. U; H( l" T% D, r( s }

上面的代码中，定义了access_token 授权服务请求地址和access_token 过期时间，这里设置60秒后过期由于本篇着重讲述OAuth2.0的密码授权模式，我们直接看到类 OpenAuthorizationServerProvider的定义：。

OpenAuthorizationServerProvider token过期时间不宜太长，比如一天，这样不安全，但也不能太短，比如10秒，这样当API访问量比较大的时候会增大刷新token的负担，所以这里设置成60秒。

3.3.1，验证客户端信息在本类的第一个方法 ValidateClientAuthentication 验证客户端的信息，这里的客户端可能是C/S程序的客户端，也可能是访问授权服务器的网关代理服务器，OAuth2.0会验证需要生成访问令牌的客户端，只有合法的客户端才可以提供后续的生成令牌服务。

客户端信息有2个部分，一个是clientId，一个是clientSecret，前者是客户端的唯一标识，后者是授权服务器颁发给客户端的秘钥，这个秘钥可以设定有效期或者设定授权范围为简便起见，我们的演示程序仅仅到数据库去检查下传递的这两个参数是否有对应的数据记录，使用下面一行代码:。

var identityRepository = IdentityRepositoryFactory.CreateInstance();这里会用到一个验证客户端的接口，包括验证用户名和密码的方法一起定义了：

////// 身份认证持久化接口///publicinterfaceIIdentityRepository1 a8 B. M* A& Z- J8 R' Y! C, t# F { 9 G* X$ p4 Y+ ^% S. q1 P //////

客户ID是否存在/////////Task ExistsClientId

(string clientId); # w) N3 C. s& L! |3 F ////// 校验客户标识//////客户ID///

客户秘钥///Task ValidateClient(string clientId,

string clientSecret); ) ~( ^* Z# M; j' L! V; f1 A! ] ////// 校验用户名密码/////////

///Task ValidatedUserPassword(string userName,

string password);! _3 w0 U6 n( X, S" J }这样我们就可以通过反射或者简单 IOC框架将客户端验证的具体实现类注入到程序中，本例实现了一个简单的客户端和用户认证类，采用的是SOD框架访问数据库：namespace

PWMIS.OAuth2.AuthorizationCenter.Repository & b+ | g) h4 J! Y* z, m9 x { ; B* c" {, S# O Q+ B publicclass SimpleIdentityRepository : IIdentityRepository ; z5 N) g! M8 G: Y# A% e$ P, K G1 H { . `, Q: z! S* K# m0 S2 k

privatestatic System.Collections.Concurrent.ConcurrentDictionary dictClient = new System.Collections.Concurrent.ConcurrentDictionary<

string, string>(); # h8 h; w% j, y+ h! v publicasync Task ExistsClientId(string clientId): u$ J7 C7 X2 l0 M$ @' N { 9 u7 \# H$ A2 S) V1 p: `2 s

returnawait Task.Run(() => 2 y6 n4 m! y& l7 Z: p: R { - y7 E# z- e- T$ ^7 J0 { AuthClientInfoEntity entity = new AuthClientInfoEntity(); $ L3 ] t) `4 q* `6 c/ ] entity.ClientId = clientId;" g: h* H4 `* a' c 7 b& \! A6 j- w% }- Y0 Y( I OQL q = OQL.From(

entity)" f' K, a L5 y. H( W& m" l .Select(entity.ClientId)' f/ e9 l8 E# Q% o& v W/ Z .Where(entity.ClientId): M# J6 ~1 I2 ~9 B1 U1 W .END;$ q% a0 P4 A4 | AuthDbContext context =

new AuthDbContext();2 _7 x; N/ E- Q) n4 X AuthClientInfoEntity dbEntity = context.QueryObject(

q);( I( l5 F9 n' r F% G return dbEntity != null;1 J# Z, W k9 A0 g4 a/ G9 u! Z }); ( e$ ]! C) o0 C" o% H0 a5 E( {7 m } ) J/ d2 H, y/ [+ s3 G2 ^5 z) O/ Q+ T7 O3 v9 S6 B publicasyncTask

ValidateClient(string clientId, string clientSecret) 0 P+ _5 {. M6 @0 D6 {" }/ f4 P6 m- E { 2 s& P6 \6 E7 E. K: e, r stringdict_clientSecret;% V; L( W, a* I6 z; b+ C$ P3 F

if (dictClient.TryGetValue(clientId, out dict_clientSecret) && dict_clientSecret== clientSecret) 6 T% G6 a7 m1 y( Q, z4 E y {+ m! y. s8 c* Q, j& C" }2 A" J$ G

returntrue;8 B. }) S2 ^3 n7 @+ i% [ } ; S# m/ b5 G% d% Z" I else 9 i9 i( r/ Z0 g! h+ e6 a { & ~" W+ X" `8 x% G) l returnawaitTask.Run(() => {) K d/ | y) T* E AuthClientInfoEntity entity =

new AuthClientInfoEntity(); 8 o" _/ k- R( j' W entity.ClientId = clientId;, }; C4 z# I8 J+ O0 u entity.ClientSecret = clientSecret; & ~8 q5 P0 X" { {, E5 N! q OQL q = OQL.From(

entity) 9 h! K/ g( H0 j .Select(entity.ClientId)$ N/ a* M- w% k .Where(entity.ClientId, entity.ClientSecret

)0 P6 F+ ?8 ^3 z& [% p .END; # Z) e) i0 i/ T& t# Z AuthDbContext context = new AuthDbContext();7 H/ u( m& z; k- l2 o AuthClientInfoEntity dbEntity = context.QueryObject(

q);3 J. o5 X' A3 H! n) W, V9 M* x if (dbEntity != null) ' N6 R# v% M3 c' } { G, O: h& H1 j2 R7 b dictClient.TryAdd(

clientId, clientSecret);7 n, x6 b6 ?; F: R# j, t! u& f returntrue;# N) H2 W: x' W+ f6 Y }" X: S5 K! }6 P; o' O! M/ G3 ^. d

elsereturnfalse;! q+ ]' y3 I. P& K });, \2 K8 w7 ]: M } & ~) b6 Y+ F- W |' a9 E. {) h * U5 a- L7 I, F. B8 u0 t- @ }6 s, b$ O( A N4 a; ^) V C( { 0 N0 U3 z3 J- }" Z$ ]% ~3 ] K publicasyncTask

> ValidatedUserPassword(string userName, string password)9 `, M, L9 f# a: O% _1 e% d3 ^ { 0 C4 m% f. \" W/ o returnawaitTask.Run

>(() => # E' n3 c5 {2 P8 \ w { 8 Z3 I+ k# @6 p UserInfoEntity user = new UserInfoEntity(); 9 }9 X$ J4 k+ n v# @ user.UserName = userName;3 e; D% { w. V& q/ |2 k2 A! C user.Password = password;1 Y/ ~1 v* m/ i3 {' B OQL q = OQL.From(

user)2 b! j- v, r6 D3 h9 ]* O( V& o .Select() : J; O+ _9 A; s2 z0 T .Where(user.UserName, user.Password) % v1 ?: f3 l* p, l* g* @ .END;7 G8 f& \7 S! n6 t* g AuthDbContext context =

new AuthDbContext(); 2 W4 e8 m9 @7 q Y- t' b8 Z AuthClientInfoEntity dbEntity = context.QueryObject(

q);3 ]- u: o w% K return dbEntity != null; " Q8 n9 M; a& x% r' l3 H1 K });' u( u2 I# K" T: \2 I6 l' ~, r } 2 O8 M0 s$ F e, _ }2 b) M! h. z, x }AuthDbContext 类非常简单，它会自动生成验证客户端所需要的表：

namespacePWMIS.OAuth2.AuthorizationCenter.Repository6 \- A6 e' D$ ?# ^ { 8 m3 n: z$ X# g3 C5 v }/ g+ V publicclassAuthDbContextbContext - Z, F8 @% b7 N. f. V! W- ? { : a( a% C( j' T# `# ^

publicAuthDbContext()2 S0 v: X' Z% T9 V : base("OAuth2") % `* r/ i9 X w3 ]6 k {: I. z- W3 N* t " H" K6 }% S$ G `' E } 5 j& c' c w* s y+ b: I* v% B4 s. e. R( v 0 w3 n/ D2 D/ ~

protectedoverrideboolCheckAllTableExists() ; J/ A. z: f6 Q4 w { f/ [ t& ~4 t0 @9 |: ~$ p base.CheckTableExists();/ N; W! q# Q6 l$ @$ Y H

base.CheckTableExists();: n$ L9 o, A s: E2 L+ ~, ] returntrue;( j9 Y: U4 o9 a! b7 I } - r+ r) _+ L# b4 v7 [9 P } 9 H! ?* f% D! B2 ]' w }3.3.2，认证用户，生成访问令牌生成访问令牌需要重写OWIN OAuthAuthorizationServerProvider类的 GrantResourceOwnerCredentials方法（方法的详细内容看前面【OpenAuthorizationServerProvider的定义】），方法里面使用到了IdentityService 对象，它有一个UserLogin 方法，用来实现或者调用用户认证服务：

IdentityServiceUserLogin方法提供了2种方式来认证用户身份，一种是直接访问用户数据库，一种是调用第三方的用户认证接口，这也是当前演示程序默认配置的方式当用户认证比较复杂的时候，推荐使用这种方式，比如认证的时候需要检查验证码。

需要在授权服务器的应用程序配置文件中配置使用何种用户身份验证方式以及验证地址：

="webpages:Enabled"value="false"/>

value="true"/>

/>

>如果认证用户名和密码通过，在GrantResourceOwnerCredentials方法最后，调用OWin的用户标识方式表示授权验证通过：3.4，项目 PWMIS.OAuth2.Tools项目 PWMIS.OAuth2.Tools 封装了OAuth2.0调用相关的一些API函数，前面我们介绍了基于OWIN实现的OAuth2.0服务端，下面我们来看看如何调用它生成一个访问令牌。

3.4.1，OAuthClient类--获取和刷新令牌看到 OAuthClient.cs 文件的 OAuthClient类的GetToken 方法////// 获取访问令牌///

///授权模式///刷新的令牌///

用户名///用户密码///授权码///

可选业务参数///publicasync Task GetToken(string grantType, string

refreshToken = null, string userName = null, string password = null, string authorizationCode = null

,string scope=null)# M7 h$ d+ y( q { & d0 M# C6 v( o' H var clientId = System.Configuration.ConfigurationManager.AppSettings[

"ClientID"]; ( Y/ q* j4 j" g3 m! |# g- I9 Q var clientSecret = System.Configuration.ConfigurationManager.AppSettings["ClientSecret"

]; * j! q& K" b2 H/ J% ]" Z' F# } this.ExceptionMessage = ""; * B) I+ C G: o/ M var parameters = new Dictionary

>(); W" Q4 S6 O6 b& a. G7 a& a parameters.Add("grant_type", grantType);5 W, I5 P3 o5 S K; u' C6 v( h& o3 J0 g7 L if (!string.IsNullOrEmpty(userName) && !

string.IsNullOrEmpty(password))8 X1 Y; ~7 @3 ~5 s {, E( H7 A p1 l9 j parameters.Add("username", userName); 7 j6 Q2 k U* d4 {$ g6 @4 a parameters.Add(

"password", password); $ v1 i0 t; b K( Q, Q8 U parameters.Add("scope", scope);; n" S3 T2 R" c9 D2 v ' m- }, b( h M I( s5 q8 _ } # Y9 q+ i4 X( o

if (!string.IsNullOrEmpty(authorizationCode))1 }: v$ `% S# ` t$ O { 6 O" [ A' @/ O; Z, F# \ var redirect_uri = System.Configuration.ConfigurationManager.AppSettings[

"RedirectUri"]; \- S% L$ n$ u) Y( T parameters.Add("code", authorizationCode);9 e2 |# Z7 C9 z7 N, j parameters.Add(

"redirect_uri", redirect_uri); //和获取 authorization_code 的 redirect_uri 必须一致，不然会报错1 j6 [. h- [3 n8 S1 t5 y } + Z3 Q3 Z0 A8 U6 e& J) @. C+ ?

if (!string.IsNullOrEmpty(refreshToken))1 F; {& \% L+ O( L* |* N$ a { + K- w9 l- `0 k. E3 [$ N parameters.Add("refresh_token"

, refreshToken);( S/ k" L9 M: ~5 k% w7 E } 7 d6 P8 A2 W+ C) j5 ], G3 e% m & q" q9 p7 ^6 z" ] httpClient.DefaultRequestHeaders.Authorization = new AuthenticationHeaderValue( ' `% V7 }3 K. c5 d7 Y& l5 }

"Basic", ' O% F% M/ q+ k% O' r9 [! b Convert.ToBase64String(Encoding.ASCII.GetBytes(clientId + ":" + clientSecret))); * h* @* F% r! V

string errCode = "00"; 2 ]/ c$ `5 [6 Y$ l* d8 l try! t8 }' }- T" N9 ] {2 ]+ w) h; ?- j3 [' R: j9 A //PostAsync 在ASP.NET下面，必须加).ConfigureAwait(false)；否则容易导致死锁

//详细内容，请参考 http://blog.csdn.net/ma_jiang/article/details/53887967var cancelTokenSource = new CancellationTokenSource(

50000); 6 P% G: X i) } var response = await httpClient.PostAsync("/api/token", new FormUrlEncodedContent(parameters), cancelTokenSource.Token).ConfigureAwait(

false);( L+ U0 F0 S/ s2 S2 I" B' G var responseValue = await response.Content.ReadAsStringAsync(); : A' q5 z7 I: e5 s' K" @

if (response.StatusCode != HttpStatusCode.OK) A1 ` ~* w& D' z# N! Q { # l+ b) U, T6 }: j( {5 _# c& Y" N try0 ^6 @$ ~3 [0 j m* A: z { 1 T R* T* O' u

var error = await response.Content.ReadAsAsync(); 2 X: W, Z- R* D+ `5 W1 U if (error.ExceptionMessage ==

null) W9 J- d# e, x9 u+ H5 X { " m% [1 @. S8 g$ h/ g string errMsg = ""; / \8 W2 B; W+ J0 v$ e2 p5 r1 K0 w

foreach (var item in error)' F1 K [2 |: ~& j% j/ u+ q, ^: _ { % f0 l* T. b" D* ~5 b* b" g& C errMsg += item.Key +

":\"" + (item.Value == null ? "" : item.Value.ToString()) + "\","; 0 `1 ~+ U" w2 i# i: k$ [5 K } ; q: L. g0 x, |- {4 ?

this.ExceptionMessage = "HttpError:{" + errMsg.TrimEnd(,)+"}"; h! s4 O- e% S( Q: F4 p; p, Y }* T2 v+ g6 \' G. l

else ' j6 B4 n* e* Q q) S( W/ k { 7 s" E# g5 R+ k3 [" v2 p# J this.ExceptionMessage = error.ExceptionMessage;4 q7 L/ k8 I4 B! Y0 h& C" N, ~3 ~5 o }: k$ Q s. _' C8 J$ @; M9 x errCode =

"1000";5 {# h9 p, p. B, \& s5 Y, I6 a o- ?* x, Z } , P0 |8 w f3 i6 e5 U" T- M' D" z catch (AggregateException agex)4 w0 L, v8 C% Z% k+ L3 S {, U2 [7 ?' }. K! C& X# k W

string errMsg = ""; " B J; q: w; b6 \% K6 X foreach (var ex in agex.InnerExceptions). m, o5 _0 g4 ] r8 e0 S; Z, J { m9 C% A+ e0 u errMsg += ex.Message;2 X& ^: {: s4 w8 @4 Y2 f5 { }/ f6 {& ~' n" l 0 f5 {+ N+ L" G+ Q" C; G errCode =

"1001"; % B9 G. m/ T: t0 }4 ~- L this.ExceptionMessage = errMsg;9 \6 M1 ?% ?) Z% ?7 `+ b } - }0 z" Z0 c! ~7 L3 u

catch (Exception ex)/ ]0 ^8 c/ ~0 [- `" a# I { / m. O5 h. e5 S4 k this.ExceptionMessage = response.Content.ReadAsStringAsync().Result; " v" F0 ]0 B+ b Z! R+ K2 A errCode =

"1002"; # ~ F& A8 D* k9 U0 p WriteErrorLog(errCode, ex.Message); 7 C# S8 K2 b6 W8 B* l7 v } 6 [1 z# ?% U4 L1 e7 G; V 4 ~. c0 A7 E& c WriteErrorLog(errCode,

"StatusCode:" + response.StatusCode + "\r\n" + this.ExceptionMessage);4 N& @% U) j. S: [ this.ExceptionMessage =

"{ErrorCode:" + errCode + ",ErrorObject:{" + this.ExceptionMessage + "}}"; : I# o( s9 O6 l, g7 e return

null; e& H9 l5 }$ E' o } , [: z; t. j4 r returnawait response.Content.ReadAsAsync();+ x; n: v8 y9 U }/ X/ d/ Z. D7 L9 J$ C* b: A' z

catch (AggregateException agex) + w) E/ U$ [- u4 Z& d$ N, H { 5 o4 Z0 c, G# W" X3 _ string errMsg = ""; f) X* K8 q6 U7 j$ l" Q% l7 L1 J foreach

(var ex in agex.InnerExceptions) " ~/ w- w W6 ]6 S {! o( l1 \- o# H2 d/ }: A% } errMsg += ex.Message+","; 5 D. s+ Z7 n4 Y) W' b6 I2 | } ! Q& O0 o- k# |+ ?- y3 @( i, S5 ?. |2 X errCode =

"1003";& K: C" N3 d+ {( ?8 `# p this.ExceptionMessage = errMsg;5 w% X( \5 {+ [* C) ]5 w5 p WriteErrorLog(errCode, errMsg); 2 D5 `2 C, I0 e, t) Y

this.ExceptionMessage = "{ErrorCode:" + errCode + ",ErrorMessage:" + this.ExceptionMessage + "}"; K A8 [' ~* y% g- K9 P: ]

returnnull;. B6 N) ^ x% q4 o0 C+ \9 j1 U) N } 5 c4 Q5 z- i% q" W4 Q% B8 P. z catch (Exception ex) 2 Z/ O9 u5 ~ T. X5 X! s { / [% l' j. V) [8 x& Y this.ExceptionMessage = ex.Message;. h ]) |; m) K; F errCode =

"1004";. e5 Q, V$ T$ K" q" H/ Y# `2 W" S WriteErrorLog(errCode, this.ExceptionMessage); ( R4 v+ s. y+ f4 _. L+ H this.ExceptionMessage =

"{ErrorCode:" + errCode + ",ErrorMessage:" + this.ExceptionMessage + "}"; ( m2 [/ J$ q" l# D returnnull; 0 F ^. m8 x6 I; k; P }: Z0 ?5 i5 U( q; K8 g }

方法首先要获取客户端的clientId 和clientSecret 信息，这个信息需要指定到本次请求的Authorization 头信息里面；然后在请求正文里面，指定授权类型，这里应该是"password"，再在正文里面添加用户名和密码参数。

接着，调用HttpClient对象，访问授权服务器的 /api/token ，该地址正是前面介绍的授权服务器项目里面指定的最后，对请求返回的响应结果做复杂的异常处理，得到正确的返回值或者异常结果在本例中，获取的令牌有效期只有1分钟，超过时间就需要刷新令牌：。

////// 使用指定的令牌，直接刷新访问令牌/////////public

TokenResponse RefreshToken(TokenResponse token)# z v0 x% a7 g1 Y8 a# V8 v8 D {( l& d& S% @3 g7 O. ~, d5 ? this.CurrentToken = token; # ?# n) v( R' j/ H9 J

return GetToken("refresh_token", token.RefreshToken).Result; " o9 W9 U [5 W% r7 J }3.4.2，TokenManager类--令牌的管理由于令牌过期后需要刷新令牌获取新的访问令牌，否则应用使用过期的令牌访问就会出错，因此我们应该在令牌超期之前就检查令牌是否马上到期，在到期之前的前一秒我们就立即刷新令牌，用新的令牌来访问资源服务器；但是刷新令牌可能导致之前一个线程使用的令牌失效，造成访问未授权的问题，毕竟授权服务跟资源服务器分离之后，这个可能性是比较高的，因此我们需要对令牌的使用进行管理，降低发生问题的风险。

首先看到 PWMIS.OAuth2.Tools.TokenManager 文件的 CreateToken 生成令牌的方法：////// 使用密码模式，给当前用户创建一个访问令牌///

///用户登录密码///验证码///

publicasync Task CreateToken(string password,string validationCode=null) 7 }6 P7 W* _% Q- T0 u/ [ {+ f0 B I3 }! t6 P3 d8 W OAuthClient oc =

new OAuthClient(); - m; q D( s' H oc.SessionID = this.SessionID;- Y* ^! c* j& D var tokenRsp= await oc.GetTokenOfPasswardGrantType(

this.UserName, password, validationCode); $ D' l! g0 Q/ n: R ?; u0 i if (tokenRsp != null) * T+ U) W' C1 y7 S3 [2 M( t {, }2 R; _- Z; b$ ^ W UserTokenInfo uti =

new UserTokenInfo(this.UserName, tokenRsp);( E( z6 O* ?/ Y9 B4 O( w dictUserToken[this.UserName] = uti; + m* |7 n2 ~; W& U# Z. V, F. K4 q }1 c1 X# d: n$ m/ _) x) l" @

else 8 v( v+ l) p( d1 }3 g5 C { . J$ J% [$ o9 `" H9 K7 M5 Z this.TokenExctionMessage = oc.ExceptionMessage; / b L f5 Z! n5 O' R } ! y& x; \6 E _+ \& o0 z" R

return tokenRsp;' r7 i! A# X& x5 F% ~+ [- p% V8 k3 p }生成的令牌存储在一个字段中，通过登录用户名来获取对应的令牌然后看TakeToken 方法，它首先尝试获取一个当前用户的令牌，如果令牌快过期，就尝试刷新令牌：。

/// /// 取一个访问令牌/// /// 如果没有或者获取令牌失败，返回空public TokenResponse TakeToken() * C% _2 O U% J+ G) c { 4 G2 ~$ b# l: M0 m e

if (dictUserToken.ContainsKey(this.UserName))" q$ c& T% W* t$ @# W1 q { ! r& \1 M# y# ?0 G) k8 z2 U UserTokenInfo uti = dictUserToken[

this.UserName]; 6 e7 q1 _1 N* |3 S Y this.OldToken = uti.Token; 7 b8 U2 k" }& k1 v; z P! W8 f% |9 f4 Q //如果令牌超期，刷新令牌if (DateTime.Now.Subtract(uti.FirstUseTime).TotalSeconds >= uti.Token.expires_in || NeedRefresh)* Q3 V: Q0 S8 G {! E Q, y t) t7 I lock (uti.SyncObject) 6 Y) Q+ n2 [* d: I& k( @. o {/ `" Q" E$ X% \/ t X

//防止线程重入，再次判断if (DateTime.Now.Subtract(uti.FirstUseTime).TotalSeconds >= uti.Token.expires_in || NeedRefresh) / X+ K, e+ d% p# B) y! f {3 [2 k5 |" n+ C

//等待之前的用户使用完令牌再刷新while (uti.UseCount > 0)" Z; h' l7 v) B/ z0 H2 t {. j! k! w% U; c8 K

if (DateTime.Now.Subtract(uti.LastUseTime).TotalSeconds > 5)* T% C" Q3 S5 Z' | O- o { $ t+ I1 h' r' }1 v7 I* o

//如果发出请求超过5秒使用计数还大于0，可以认为资源服务器响应缓慢，最终请求此资源可能会拒绝访问this.TokenExctionMessage = "Resouce Server maybe Request TimeOut."

; + P m$ o. ?3 _ OAuthClient.WriteErrorLog("00", "**警告** "+DateTime.Now.ToString()+

"：用户"+this.UserName+" 最近一次使用当前令牌（" * C* M1 h- k* P [ +uti.Token.AccessToken +"）已经超时（10秒）,使用次数："

+uti.UseCount+"，线程ID:"+System.Threading.Thread.CurrentThread.ManagedThreadId+"\r\n**下面将刷新令牌，但可能导致之前还未处理完的资源服务器访问被拒绝访问。

"); 1 w7 }9 E7 o! o4 E2 X break;; ]3 E$ }! y" c, }8 k2 ~; s1 V }" `4 U9 l( _1 m% R9 _1 ] System.Threading.Thread.Sleep(

100); * E4 Q6 L3 X3 h+ D) q }- L9 ]8 ~* F$ P' h0 v0 \, ? //刷新令牌try1 N' |3 n* [ w' L1 n) l- y { 5 `- V6 N1 e0 R2 D! t$ @ OAuthClient oc = new OAuthClient(); ; [4 b$ l W" Z$ k9 s& K* x

var newToken = oc.RefreshToken(uti.Token);! I6 U7 Q; N* ^: x7 p* G+ V if (newToken == null) 7 B6 F+ u" M. |, \8 H* _

throw new Exception("Refresh Token Error:" + oc.ExceptionMessage);9 ?0 }/ J- O# U9 f x$ a2 _ else

if( string.IsNullOrEmpty( newToken.AccessToken))$ q2 u& i, X* \ throw new Exception(

"Refresh Token Error:Empty AccessToken. Other Message:" + oc.ExceptionMessage);' J$ q$ I1 `1 L2 ^$ W $ k0 H9 s6 P. L( M$ P9 ~! X2 h uti.ResetToken(newToken);( @" Q* z: _! d/ s4 s

this.TokenExctionMessage = oc.ExceptionMessage; ! t6 a I0 a& M9 R6 V7 p5 U }- e0 p% {3 H' K& R/ P

catch (Exception ex)- Z. s7 }! t0 T n7 Z$ j {/ ` ]' A3 L7 C( Y2 Q this.TokenExctionMessage = ex.Message; ! z: F& K6 j8 J2 k! M3 n

returnnull;" t _- S; e- ]7 {6 j# V9 q } " c0 ?5 J. _' @% X1 B! S: y NeedRefresh = false;! L8 ]1 [) o' r8 j9 Q* b }8 h8 H% H* B8 r; P* a q }

//end lock+ }/ f5 G6 T5 D1 m }% }6 @/ B; q! W# p% d $ Y- ?& O; G! D/ C, P this.CurrentUserTokenInfo = uti; ! Z. D+ I# Q1 Y6 `" u+ m uti.BeginUse(); + r6 I- B0 h- r# [: D

//this.CurrentTokenLock.Set();return uti.Token;3 w: U n' |8 \9 L! G } - B1 E$ O- `6 j* p& ?: ? else : C# h# k3 ^' ~% j, M1 O {6 G( h X: w# u# n" A

//throw new Exception(this.UserName+" 还没有访问令牌");this.TokenExctionMessage = "UserNoToken"; : U+ p1 ^- z9 C: @; _- ^ 。

returnnull; , N+ W, k: n) n! Y9 H5 a+ X8 ^ } ; E# d0 _, @8 o6 \7 Q }有了令牌管理功能，客户端生成和获取一个访问令牌就方便了，下面看看客户端如何来使用它3.5，项目 Demo.OAuth2.Port项目 Demo.OAuth2.Port 在本解决方案里面有3个作用：

提供静态资源的访问，比如调用WebAPI的Vue.js 功能代码；提供后端API路由功能，作为前端所有API访问的网关代理；存储用户的登录票据，关联用户的访问令牌这里我们着重讲解第3点功能，网关代理功能另外详细介绍。

在方案中，用户的访问令牌缓存在Port站点的进程中，每当用户登录成功后，就生成一个用户访问令牌跟当前用户票据关联看到项目的控制器 LogonController 的用户登录Action： [。

HttpPost] - R. V/ ]% P+ v8 ?- y' d- C3 _ [AsyncTimeout(60000)] 3 d( O. D T, X; h9 w* v3 ` n& B+ W, v publicasync Task Index(LogonModel model

) ( k% U7 r4 \, A3 ? {, z n4 w, c2 n+ J- M. q c LogonResultModel result = new LogonResultModel();$ u0 f8 b% |# @; M: x, G - ]- @2 d) C H/ @0 o/ I //首先，调用授权服务器，以密码模式获取访问令牌

//授权服务器会携带用户名和密码到认证服务器去验证用户身份//验证服务器验证通过，授权服务器生成访问令牌给当前站点程序//当前站点标记此用户登录成功，并将访问令牌存储在当前站点的用户会话中//当前用户下次访问别的站点的WebAPI的时候，携带此访问令牌。

% s5 Z' y: a+ L1 u: l! n: X2 I' q% ?$ R- _# ?: e TokenManager tm = new TokenManager(model.UserName, Session.SessionID);; S3 \* T0 ~0 ]3 K) ]5 B* `

var tokenResponse = await tm.CreateToken(model.Password,model.ValidationCode); ( \" L7 }, J3 H8 G if (tokenResponse !=

null && !string.IsNullOrEmpty(tokenResponse.AccessToken))5 D# J; V# i5 z) @( F# } { - ~9 x; Y5 E0 t" h result.UserId =

123; " W- j( \, j1 R, L result.UserName = model.UserName;# X, n$ l) L D* H" z result.LogonMessage = "OK"; 0 }+ o5 f# d) m. X* G9 X& J% @/ s

/* OWin的方式& k6 V1 U9 K3 ?4 x% a ClaimsIdentity identity = new ClaimsIdentity("Basic"); 2 z, m4 J% m) P: @% v F8 X4 U4 ? identity.AddClaim(new Claim(ClaimTypes.Name, model.UserName));4 r8 ^3 O# O7 {2 s7 C9 w% l ClaimsPrincipal principal = new ClaimsPrincipal(identity);; O) t# \( l: s8 p( x) {; P- D3 K$ \ HttpContext.User = principal; v- g) O- }) ` */

8 ^$ [4 ^7 L h' B) ^$ N FormsAuthentication.SetAuthCookie(model.UserName, false);1 c/ {) @$ $ D4 {6 m } : x' K& K; $ h3 h9 p% g

else$ O+ S4 p' O0 V4 B! Z2 c0 l {3 I/ g8 g5 i8 b& G1 C. _; y5 S5 ~# J result.LogonMessage = tm.TokenExctionMessage;& p( p( P- i- U3 T8 Q0 P; Y; \* }5 q2 I }- S4 j) D" y2 M

return Json(result); & O( K5 H( C' s }Port站点作为授权服务器的客户端，需要配置客户端信息，看到Web.config文件的配置：

value="3.0.0.0" />

/>

="PWMIS.OAuth2.Port"/>

value="http://localhost:60186"/>/ k& d# L% d4 R; S1 Z( d 8 |; ~1 D, L% d8 H0 k7 D) q

		自动登录	找回密码
密码			加入怎通