怎么把IdentityServer放到Ocelot网关后面？

Posted 2022-02-03 JimCarter

1. 尝试

在大多数项目中，可能gateway的域名和sso登录认证的域名是两个，网关只负责验证token，然后决定是否放行。

但如果只有一个网关域名，且这个域名想包揽全局，签发token的任务它也想做该怎么弄呢？

这个时候我们就可以通过配置Ocelot的Route实现：

      "UpstreamPathTemplate": "/everything",
      "UpstreamHttpMethod": [ "Get", "Post", "Delete", "Put" ],

      "DownstreamPathTemplate": "/everything",
      "DownstreamScheme": "http",
      "DownstreamHostAndPorts": [
        
          "Host": "insight-identity",
          "Port": 80
        
      ]
    

以上是配置将请求转发到IdentityServer应用的示例，其中insight-identity是IdentityServer的内网域名。

2. 问题

当我们把IdentityServer项目和Ocelot项目都跑起来之后，会发现能够进入到IdentityServer的主页。

看起来貌似一切都正常。
但是如果从[discovery document]点进去之后会发现：

IdentityServer的base address并不是网关的域名，而是内网域名。这样就会引起一个问题，当用户请求token的时候就会请求到这个内网域名上，而这个域名在外网上并不通。

3. 解决

那么该如何解决这个问题呢？其实只需要设置下使用转发头就可以了，因为IdentityServer里的base address使用的是请求头里的Host。

所以在IdentityServer项目中添加如下代码即可：

services.Configure<ForwardedHeadersOptions>(opt =>

    opt.ForwardedHeaders = ForwardedHeaders.XForwardedFor | ForwardedHeaders.XForwardedProto | ForwardedHeaders.XForwardedHost;
    opt.KnownNetworks.Clear();
    opt.KnownProxies.Clear();
);

if (!app.Environment.IsDevelopment())

    app.UseExceptionHandler("/Error");

app.UseForwardedHeaders();
app.UseStaticFiles();
//...

---

参考：
how to change BaseUrl of the Identityserver
public origin is not found in options in v4.x
配置 ASP.NET Core 以使用代理服务器和负载均衡器