我有两个身份服务器和一个 Web API。我试图做的是让 API 对一个或两个 IdentityServers 进行身份验证,并且能够在其中一个发生故障时进行切换。如果可能的话,我还希望能够在运行时添加一个新的 IdentityServer。
这里有什么最佳实践吗?
到目前为止,它看起来像这样。
app.UseIdentityServerAuthentication(new IdentityServerAuthenticationOptions
{
Authority = $"http://localhost:5000",
ScopeName = "my.scope",
RequireHttpsMetadata = false,
ScopeSecret = "secret",
});
如果我在端口 5000 处关闭 IdentityServer,我将无法再使用 API。这是可以预料的。
我不确定这是否是解决问题的好方法。但这是一种方式。我向我的路由服务询问“第一个身份服务”以在选项中设置权限。然后我添加了一个自定义 IntrospectionBackChannelHandler
app.UseIdentityServerAuthentication(new IdentityServerAuthenticationOptions
{
Authority = $"http://{v.Address}:{v.Port}",
IntrospectionBackChannelHandler = new CustomIntrospectionBackChannelHandler(consulService)
由于我所有的身份服务器看起来都一样,但在不同的地址上,我真的不必费心再做一次权威的事情。
在自定义的 Introspect 中......我检查每个 introspect 并将其发送到“正确的”身份服务器。如果它不起作用,我尝试另一个身份服务器。
var qs = 等待 request.Content.ReadAsStringAsync(); var queryDic = QueryHelpers.ParseQuery(await request.Content.ReadAsStringAsync());
var token = queryDic["token"];
var client_id = queryDic["client_id"];
var client_secret = queryDic["client_secret"];
var iRequest = new IntrospectionRequest
{
ClientId = client_id,
ClientSecret = client_secret,
TokenTypeHint = "access_token",
Token = token
};
IntrospectionResponse result = null;
var svc = await _Consul.GetService(OrbitServices.IdentityServer);
result = await TrySendAsync(iRequest, svc);
if (!result.IsActive && result.IsError)
{
svc = await _Consul.GetService(OrbitServices.IdentityServer, true);
result = await TrySendAsync(iRequest, svc);
}
var message = new HttpResponseMessage(HttpStatusCode.OK)
{
Content = new StringContent(result.Raw, Encoding.UTF8, "application/json")
};
return message;