作者:mthp | 来源:互联网 | 2023-01-29 03:08
我已经关注了IdentityServer4快速入门,并且能够使用隐式授权使用IdentityServer的本地主机实例来验证我的Javascript网页(几乎与快速入门中提供的相同).同样,我的IdentityServer几乎与上面提到的快速入门中提供的相同 - 它只是有一些自定义用户详细信息.
然后我将我的应用程序(C#.NET Core)移动到一个docker容器中,并在Kubernetes集群(单个实例)中托管了一个这样的实例,并创建了一个Kubernetes服务(通过一个或多个"真实"服务的外观),这使我可以访问集群外部的身份服务器.我可以修改我的Javascript网页并将其指向我的Kubernetes服务,它仍然可以很愉快地显示登录页面,它似乎按预期工作.
然后当我将IdentityServer扩展到三个实例(所有服务都在一个Kubernetes服务后面)时,我开始遇到问题.Kubernetes服务对每个身份服务器进行循环请求,因此第一个将显示登录页面,但第二个将在我按下登录按钮后尝试处理身份验证.这会导致以下错误:
System.InvalidOperationException:无法解密防伪令牌.---> System.Security.Cryptography.CryptographicException:在密钥环中找不到密钥{19742e88-9dc6-44a0-9e89-e7b09db83329}.at Microsoft.AspNetCore.DataProtection.KeyManagement.KeyRingBasedDataProtction.UnprotectCore(Byte [] protectedData,Boolean allowOperationsOnRevokedKeys,UnprotectStatus&status)at Microsoft.AspNetCore.DataProtection.KeyManagement.KeyRingBasedDataProtector.DangerousUnprotect(Byte [] protectedData,Boolean ignoreRevocationErrors,Boolean&requiresMigration,Boolean&wasRevoked )Microsoft.AspNetCore.DataProtection.KeyManagement.KeyRingBasedDataProtction.Unprotect(Byte [] protectedData)at Microsoft.AspNetCore.Antiforgery.Internal.DefaultAntiforgeryTokenSerializer.Deserialize(String serializedToken)---内部异常堆栈跟踪结束--- ...还有更多......
所以 - 我明白我收到了这个错误,因为期望是同一个IdentityServer应该为它所显示的页面提供服务请求(否则反伪造令牌会如何工作,对吧?),但是我想要的是了解我是如何在复制环境中完成这项工作的.
我不想在不同的IP /端口上托管多个身份服务器; 我正在尝试构建一个HA配置,如果一个IdentityServer死掉,那么调用端点的任何东西都不应该关心(因为请求应由其他工作实例提供服务).
我说我正在使用快速入门代码 - 这意味着在IdentityServer的启动时,有一些看起来像这样的代码......
public void ConfigureServices(IServiceCollection services)
{
services.AddMvc();
services.AddIdentityServer(optiOns=>
{
options.Events.RaiseSuccessEvents = true;
options.Events.RaiseFailureEvents = true;
options.Events.RaiseErrorEvents = true;
})
.AddTemporarySigningCredential()
.AddInMemoryIdentityResources(Config.GetIdentityResources())
.AddInMemoryApiResources(Config.GetApiResources())
.AddInMemoryClients(Config.GetClients())
我假设我需要.AddTemporarySigningCredential()
用可以由我的Kubernetes集群中运行的IdentityServer的所有实例使用的证书替换逻辑.不知道MVC是如何工作的(MVC6用于生成IdentityServer服务中的登录页面,我从示例代码中获取 - 上面的链接) - 我想知道是否只是更改代码以使用在之间共享的适当证书所有服务都足以让HA IdentityServer集群工作原型?
通过工作,我的意思是我的期望是我可以在Kubernetes集群中运行n个IdentityServer实例,使用Kubernetes服务作为我运行的许多IdentityServer的外观,并且能够使用多个IdentityServer实例进行身份验证它可以共享数据,只要它们都为我的调用Web应用程序提供完全相同的权限,并且可以在一个或多个实例死亡时处理彼此的请求.
任何帮助或见解将不胜感激.
1> Jay..:
我想我已经解决了这个问题.为解决我的问题,我做了两件事:
创建我自己的X509证书,并在我的每个IdentityServer之间共享此证书.有很多关于如何在网上创建有效证书的例子; 我刚刚
services.AddIdentityServer(...).AddSigningCredential(new X509Certificate2(bytes, "password")
在我的启动课上使用过.
深入研究MVC框架代码并确定我需要实现密钥存储提供程序,以便在提供登录页面的Identity Server的MVC部分的不同实例之间共享状态.
事实证明,NuGet提供了一个Redis支持的KSP,这意味着我只需要在我的Kube集群(在我的集群之外无法访问)中启动私有redis实例来共享解密秘密.
/* Note: Use an IP, or resolve from DNS prior to adding redis based key store as direct DNS resolution doesn't work for this inside a K8s cluster, though it works quite happily in a Windows environment. */
var redis = ConnectionMultiplexer.Connect("1.2.3.4:6379");
services.AddDataProtection()
.PersistKeysToRedis(redis, "DataProtection-Keys");
我现在可以将我的身份服务扩展到3个实例,并使Kube服务充当所有可用实例的外观.我可以在身份服务之间查看日志作为Kubernetes循环请求,我的身份验证就像我期望的那样发生.
感谢那些在这篇文章之前对这个问题发表评论的人.