Как настроить Ocelot с претензиями (ролями)?

Question

Я пытаюсь настроить Ocelot в шлюзе Api, и я застрял на авторизации. Мне удалось настроить претензии, и я могу авторизоваться с ними внутри моих контроллеров. Я добавляю претензию к пользователю, как это:

await userManager.AddClaimAsync(user, new Claim(ClaimTypes.Role, configuration["InitialAdmin:Role"]));

Затем я настраиваю Ocelot со следующим конфигом:

{
  "ReRoutes": [
    {
      "DownstreamPathTemplate": "/api/home/user",
      "DownstreamScheme": "http",
      "DownstreamHostAndPorts": [
        {
          "Host": "localhost",
          "Port": 5001
        }
      ],
      "UpstreamPathTemplate": "/api/home/user",
      "RouteClaimsRequirement": {
          "Role": "user"
      }
    },
    {
      "DownstreamPathTemplate": "/api/home/admin",
      "DownstreamScheme": "http",
      "DownstreamHostAndPorts": [
        {
          "Host": "localhost",
          "Port": 5001
        }
      ],
      "UpstreamPathTemplate": "/api/home/admin",
      "RouteClaimsRequirement": {
        "Role": "SuperAdmin"
      }
    }
  ],
  "GlobalConfiguration": {
    "BaseUrl": "https://localhost:5000"
  }
}

Вот мой метод ConfigureServices:

public void ConfigureServices(IServiceCollection services)
{
    services.Configure<CookiePolicyOptions>(options =>
    {
        // This lambda determines whether user consent for non-essential cookies is needed for a given request.
        options.CheckConsentNeeded = context => true;
        options.MinimumSameSitePolicy = SameSiteMode.None;
    });

    services.AddIdentity<CondatoUser, IdentityRole>(options =>
    {
        //Signin config
        options.SignIn.RequireConfirmedEmail = true;

        //Password config
        options.Password.RequiredLength = 8;
        options.Password.RequireNonAlphanumeric = false;
        options.Password.RequireLowercase = false;
        options.Password.RequireUppercase = false;

        //User config
        options.User.RequireUniqueEmail = true;
    })
    .AddDefaultUI()
    .AddEntityFrameworkStores<UserManagementDbContext>();
           services.AddMvc().SetCompatibilityVersion(CompatibilityVersion.Version_2_2);
    services.AddOcelot(Configuration);
}

Затем я вхожу в этот шлюз Api (это проект MVC с пользовательским интерфейсом по умолчанию для входа в систему / регистрации / и т. Д.) И пытаюсь перейти по следующему URL:

https://localhost:5000/api/home/admin

Однако я всегда получаю статус 403. Когда я удаляю RouteClaimsRequirement, это работает. Поэтому я предполагаю, что что-то упустил, но я понятия не имею, как документация для RouteClaimsRequirement немного скудна.

Кто-нибудь может мне здесь помочь? Спасибо.

Answer 1

Что ж, получается, что этого нельзя сделать, используя предопределенный ClaimTypes в System.Security.Claims.Это связано с тем, что (app) настройки json не могут обрабатывать двоеточие (:) в словарном ключе.Ссылаясь на эту проблему в репозитории Ocelot.

Решение состоит в том, чтобы использовать пользовательский тип заявки, например "Роль" вместо System.Security.Claims.Role, что приводит к "http://schemas.microsoft.com/ws/2008/06/identity/claims/role"