- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
我们有一个使用 Identity Server 3 的微服务环境。身份通过授权 http header 中的不记名 token 提供给 http 微服务,其中 token 是 JWT。该 JWT 通常代表登录的最终用户,但有时也可以代表已通过客户端凭据流进行身份验证的系统用户。
消息由这些微服务发布到队列 (RabbitMQ) 上,以进行异步处理。目前,我们有一个使用这些消息的 Windows 服务。它使用客户端凭据作为系统用户进行身份验证,并将身份验证 header 中的 JWT 发送到其他 http 微服务。
我们希望在整个流程中维护发布消息的用户的身份,包括在从队列中使用消息时以及消费者调用其他微服务时的机器对机器 (m2m) 通信中。即,当服务 A(由 JWT 提供)向队列发布消息时,Windows 服务应该能够模拟服务 A 的 JWT 中表示的用户,并且应该能够提供表示同一用户的 JWT调用服务 B。
Service A (running as alice) --> RMQ
RMQ <-- Win Service (running as alice) --> Service B (running as alice)
只有具有正确声明的客户端才能以这种方式模拟用户。
为了将 JWT 返回到 Windows 服务,我应该使用哪个流程?这应该如何在 Identity Server 3 中实现?我已经设法使用资源所有者流程生成 JWT,传入虚拟用户名和密码(覆盖 AuthenticateLocalAsync
),尽管我还没有尝试检查 Win 服务的客户端是否具有有效声明冒充。或者这应该是自定义流程,实现 ICustomGrantValidator
?也许可以使用客户端凭证流?
请注意,原始 JWT 可以与消息一起提供,或者只是用户 ID 本身。原始的 JWT 可能已经过期,这就是为什么 Windows 服务必须以某种方式重新进行身份验证的原因。
最佳答案
我的理解是,您希望通过分布式架构传播经过身份验证的身份,其中包括通过 RabbitMQ 消息代理进行的异步消息传递。
当您向 RabbitMQ 发送/发布消息时,您可能会考虑在消息 header 中包含 JWT,即类似于将 JWT 包含在 HTTP header 中以调用 protected HTTP 路由。或者,如果您觉得有点懒惰,您可以将 JWT 直接放在消息有效负载上。您的异步(Windows 服务)使用者可以在 JWT 通过时验证它,或者它可能只是在后续 HTTP 请求中将其传递到“其他 http 微服务”的 protected 路由。
我不确定您关于“我应该使用哪个流程”的问题是否相关,因为大概用户已经通过身份验证(通过 OIDC/authN 流程之一,例如身份验证代码授予、隐式、ROPC... ) 并且您只是希望通过分布式架构传播 JWT 以用于 authZ 目的...
在发送自定义消息头方面,我已经使用 RabbitMQ 和 MassTransit 完成了此操作,但它是为了 (OpenTracing) 跟踪异步消息代理操作之间的 Id 传播。 repo 在 GitHub 上 here - 可能会给你一些关于如何实现这一目标的想法......
[编辑] 以下说明:
以下是我能想到的一些选项 - 每个选项都有一些安全隐患:
offline_access
到/token 上指定的范围列表端点。然后,您可以将刷新 token 传递给异步(Windows 服务)消费者,可以使用刷新如果前一个 token 已过期(或每次都获取一个新 token ),则获取新的 token 。您可能需要考虑一些安全因素在走这条路之前请三思。关于windows-services - 消息队列消费者应该如何在微服务环境中模拟 Identity Server 3 中的用户?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/59453896/
我在文档中找不到答案,所以我在这里问。 在 Grails 中,当您创建应用程序时,您会默认获得生产、开发等环境。 如果您想为生产构建 WAR,您可以运行以下任一命令: grails war 或者 gr
我们组织的网站正在迁移到 Sitecore CMS,但我们正在努力以某种方式为开发人员 (4)、设计师 (4)、QA 人员 (3)、作者 (10-15) 和批准者 (4-10) 设置环境在他们可以独立
如何在WinCVS中设置CVSROOT环境变量? 最佳答案 简单的回答是:您不需要。 CVSROOT 环境变量被高估了。 CVS(NT) 只会在确定存储库连接字符串的所有其他方法都已用尽时才使用它。人
我最近完成了“learnyouahaskell”一书,现在我想通过构建 yesod 应用程序来应用我所学到的知识。 但是我不确定如何开始。 关于如何设置 yesod 项目似乎有两个选项。一是Stack
在这一章中,我们将讨论创建 C# 编程所需的工具。我们已经提到 C# 是 .Net 框架的一部分,且用于编写 .Net 应用程序。因此,在讨论运行 C# 程序的可用工具之前,让我们先了解一下 C#
运行Ruby 代码需要配置 Ruby 编程语言的环境。本章我们会学习到如何在各个平台上配置安装 Ruby 环境。 各个平台上安装 Ruby 环境 Linux/Unix 上的 Ruby 安装
就目前而言,这个问题不适合我们的问答形式。我们希望答案得到事实、引用或专业知识的支持,但这个问题可能会引起辩论、争论、投票或扩展讨论。如果您觉得这个问题可以改进并可能重新打开,visit the he
我有一个这样的计算(请注意,这只是非常简化的、缩减版的、最小的可重现示例!): computation <- function() # simplified version! { # a lo
我使用环境作为哈希表。键是来自常规文本文档的单词,值是单个整数(某个其他结构的索引)。 当我加载数百万个元素时,更新和查找都变慢了。下面是一些代码来显示行为。 看起来从一开始的行为在 O(n) 中比在
我正在构建一个 R 包并使用 data-raw和 data存储预定义的库 RxODE楷模。这非常有效。 然而,由此产生的.rda文件每代都在变化。某些模型包含 R 环境,并且序列化似乎包含“创建时间”
(不确定问题是否属于这里,所以道歉是为了) 我很喜欢 Sublime Text ,我经常发现 Xcode 缺少一些文本/数据处理的东西。我可能有不止一个问题—— 'Command +/' 注释代码但没
我正在使用 SF2,并且创建了一些有助于项目调试的路由: widget_debug_page: path: /debug/widget/{widgetName} defau
我创建了一个名为 MyDjangoEnv 的 conda 环境。当我尝试使用 source activate MyDjangoEnv 激活它时,出现错误: No such file or direct
有没有办法区分从本地机器运行的包和从 Cordova 应用商店安装的包? 例如,我想像这样设置一个名为“evn”的 JavaScript 变量: if(cordovaLocal){ env = 'de
很难说出这里要问什么。这个问题模棱两可、含糊不清、不完整、过于宽泛或夸夸其谈,无法以目前的形式得到合理的回答。如需帮助澄清此问题以便重新打开,visit the help center . 关闭 1
我的任务是使用 java 和 mysql 开发一个交互式网站:使用 servlet 检索和处理数据,applet 对数据客户端进行特殊处理,并处理客户端对不同数据 View 的请求。 对于使用 jav
这按预期工作: [dgorur@ted ~]$ env -i env [dgorur@ted ~]$ 这样做: [dgorur@ted ~]$ env -i which date which: no
我想进行非常快速的搜索,看来使用哈希(通过环境)是最好的方法。现在,我得到了一个在环境中运行的示例,但它没有返回我需要的内容。 这是一个例子: a system.time(benchEnv(), g
我想开始开发 OpenACC 程序,我有几个问题要问:是否可以在 AMD gpu 上执行 OpenACC 代码? 如果是这样,我正在寻找适用于 Windows 环境的编译器。我花了将近一个小时什么也没
这可能看起来很奇怪,但是有没有办法制作机器(linux/unix 风格 - 最好是 RHEL)。我需要控制机器的速度以确保代码在非常慢的系统上工作并确定正确的断点(在时间方面)。 我能做到的一种方法是
我是一名优秀的程序员,十分优秀!