identityServer4相关问题
前言
相信大家IdentityServer相关的文章、视频已经看了不少。甚至实际也写过一些相关的代码。但是,要问你懂了里面的原理吗?我感觉要打一个问号。这一篇不讲原理,只讲一下,ids4作为验证中心,部署发布到K8s存在的一些问题。
chorme浏览器,使用Cookie认证失效。
参考文章:
https://juejin.im/post/6844904088165941262
https://blog.csdn.net/sinat_36521655/article/details/104844667
public void ConfigureServices(IServiceCollection services)
{
services.AddMvc();
JwtSecurityTokenHandler.DefaultInboundClaimTypeMap.Clear();
services.AddAuthentication(options =>
{
options.DefaultScheme = "Cookies";
options.DefaultChallengeScheme = "oidc";
})
.AddCookie("Cookies")
.AddOpenIdConnect("oidc", options =>
{
options.Authority = "http://localhost:5000";
options.RequireHttpsMetadata = false;
options.ClientId = "mvc";
options.SaveTokens = true;
});
}
上面的代码是我的客户端认证代码,可以看到我的本地认证是用的“Cookies” 认证。我输入账户密码后, 通过http://localhost:5000这个地址认证,认证通过后,会往浏览器写入一个Cookie,然后拿着这个cookie,跳转访问到我的MVC客户端的主页。但是我们发现,登陆成功后,我们仍然跳转到了登陆页面。原因是:cookie写入失败,我们跳转访问MVC客户端的主页认证失败,所以重新又跳回了登录页。
我们看到有两个黄色的感叹号,这代表我请求写入cookie时失败了。这是因为chorme的跨域cookie策略导致的,具体参考我上面的两个链接的文章。那怎么解决呢?因为chorme是有一个策略,使用https时,可以跨站写入cookie。但是我测试环境搭建https比较麻烦,我正式环境为了安全我还是用https。所以我们的解决方案如下:
1.ids4服务端加上cookie策略,当正式环境时,必须为https,测试环境时,可以用http
public static IServiceCollection AddCustomAuthentication(this IServiceCollection services,
IConfiguration configuration, IWebHostEnvironment environment)
{
services.AddAuthentication()
.AddCookie(options =>
{
options.Cookie.SameSite = SameSiteMode.None;
options.Cookie.HttpOnly = true;
options.Cookie.SecurePolicy = environment.IsDevelopment()
? CookieSecurePolicy.SameAsRequest
: CookieSecurePolicy.Always;
})
return services;
}
2.浏览器显式关闭该功能。
地址栏输入:chrome://flags/
找到SameSite by default cookies和Cookies without SameSite must be secure
将上面两项设置为 Disable
这样,我们问题就解决了。
授权服务(ids4)部署到k8s,验证码图片看不到
参考文章:
https://www.cnblogs.com/stulzq/p/10172550.html
https://github.com/dotnet/dotnet-docker/issues/618
其实这个问题,跟ids4没啥关系,只不过我们的登录验证这个项目叫identity,这个是用ids4验证的,就一起写了。我们的验证码请求访问的是identity这个项目,但是我把它发布到k8s后发现看不到验证码的图片。具体原因上面两个文章写的很清楚了,我就不写了。写这个只是上面的dockerfile和命令比较老,docker build时会报错,所以解决方案 具体dockerfile如下:
FROM base AS final
WORKDIR /app
#解决验证码图片不能显示
RUN sed -i "s@http://deb.debian.org@http://mirrors.aliyun.com@g" /etc/apt/sources.list
RUN apt-get update -y && apt-get install -y libgdiplus && apt-get clean && ln -s /usr/lib/libgdiplus.so /usr/lib/gdiplus.dll
#解决发布k8s后,连接sqlserver连不上
RUN sed -i 's/MinProtocol = TLSv1.2/MinProtocol = TLSv1/g' /etc/ssl/openssl.cnf
RUN sed -i 's/MinProtocol = TLSv1.2/MinProtocol = TLSv1/g' /usr/lib/ssl/openssl.cnf
COPY --from=publish /app/publish .
各位只用将这两行命令,复制进dockerfile就好,第一行是改镜像源,为了加速。第二行是安装。
RUN sed -i "s@http://deb.debian.org@http://mirrors.aliyun.com@g" /etc/apt/sources.list
RUN apt-get update -y && apt-get install -y libgdiplus && apt-get clean && ln -s /usr/lib/libgdiplus.so /usr/lib/gdiplus.dll
授权服务(ids4)部署到k8s,偶尔登录需要点两次,不稳定
因为ids4自带antiforgery Token检测,而antiforgery Token每次应用程序启动都会变,所以分布式部署时,经常出现登录点两次,将antiforgery Token做持久化,并用redis保存就好
