🙋🏿 👩🏾 👊🏾 JWT के साथ .NET कोर gRpc में प्रमाणीकरण 🐃 🧗🏼 🙆🏼

इस लेख में मैं JWT का उपयोग करके gRpc सेवाओं में एपीआई प्रमाणीकरण की सुविधाओं के बारे में बात करूंगा। मुझे लगता है कि आप JWT और HTTP हेडर से .NET कोर वेबएपीआई में उनका उपयोग करके परिचित हैं, इसलिए मैंने इन विवरणों पर चर्चा नहीं की। जब मैंने gRpc में प्रमाणीकरण को लागू करने का प्रयास किया, तो मुझे इस तथ्य के बारे में पता चला कि अधिकांश उदाहरण कंसोल अनुप्रयोगों का उपयोग करके लिखे गए हैं। यह उस वास्तविकता से बहुत दूर है जिसमें, मेरी राय में, डेवलपर्स रहते हैं। उदाहरण के लिए, मैं हर बार एक चैनल नहीं बनाना चाहता जो मैं एक सेवा पद्धति को कॉल करना चाहता हूं। मैं प्रत्येक अनुरोध के साथ एक टोकन और उपयोगकर्ता जानकारी भेजने के बारे में भी चिंता नहीं करना चाहता। इसके बजाय, मैं एक बुनियादी ढांचा स्तर रखना चाहता हूं जो मेरे लिए यह सब ध्यान रखेगा। यदि यह विषय आपके लिए दिलचस्प है, तो कटौती के तहत अधिक होगा। इस आलेख के सभी उदाहरण .NET कोर 3.1 के लिए मान्य हैं।

उदाहरण दिया

विषय में देरी करने से पहले, यह लेख में उपयोग किए जाने वाले उदाहरण का वर्णन करने योग्य है। पूरे समाधान में दो एप्लिकेशन शामिल हैं: एक वेबसाइट और जीआरपीसी सेवा (इसके बाद एपीआई)। दोनों .NET कोर 3.1 में लिखे गए हैं। उपयोगकर्ता लॉग इन कर सकता है और कुछ डेटा देख सकता है यदि वह इसके लिए अधिकृत है। वेबसाइट उपयोगकर्ता डेटा को संग्रहीत नहीं करती है और प्रमाणीकरण प्रक्रिया में एक एपीआई पर निर्भर करती है। GRpc सेवा के साथ संवाद करने के लिए, वेबसाइट के पास एक वैध JWT टोकन होना चाहिए, लेकिन यह टोकन एप्लिकेशन में उपयोगकर्ता प्रमाणीकरण पर लागू नहीं होता है। वेब एप्लिकेशन अपनी तरफ कुकीज़ का उपयोग करता है। एपीआई के लिए यह जानने के लिए कि उपयोगकर्ता किस सेवा के लिए अनुरोध करता है, इस बारे में जानकारी JWT टोकन के साथ भेजी जाती है, लेकिन टोकन में ही नहीं, बल्कि अतिरिक्त HTTP हेडर के साथ। नीचे दिया गया आंकड़ा उस सिस्टम का एक उदाहरण स्कीमा दिखाता है जिसके बारे में मैंने अभी बात की है:

यहां मुझे ध्यान देना चाहिए कि जब मैंने यह उदाहरण दिया था, तो मेरे पास एपीआई के लिए सबसे सही प्रमाणीकरण पद्धति को लागू करने का लक्ष्य नहीं था। यदि आप कुछ सर्वोत्तम प्रथाओं को देखना चाहते हैं, तो OpenID कनेक्ट विनिर्देश देखें । हालांकि, कभी-कभी मुझे यह लगता है कि सबसे सही समाधान समस्या के समाधान और समय और धन की बचत के साथ तुलना में बेमानी हो सकता है।

GWpc सेवा में JWT प्रमाणीकरण सक्षम करें

जीआरपीसी सेवा का कॉन्फ़िगरेशन सामान्य कॉन्फ़िगरेशन से अलग नहीं है जो .NET कोर एपीआई की आवश्यकता है। एक अतिरिक्त प्लस यह है कि यह HTTP और HTTPS प्रोटोकॉल के लिए अलग नहीं है। संक्षेप में, आपको मानक प्रमाणीकरण और प्राधिकरण सेवाओं को जोड़ने की आवश्यकता है, साथ ही स्टार्टअप.केएस फ़ाइल में मिडिलवे भी । वह स्थान जहाँ आप मिडलवेयर जोड़ते हैं, महत्वपूर्ण है: आपको इसे राउटिंग और पॉइंट्स के बीच जोड़ना होगा ( कुछ कोड गायब है ):

public void Configure(...) {
    app.UseRouting();
    
    app.UseAuthentication();
    app.UseAuthorization();
    
    app.UseEndpoints(...
}

लेकिन जिस स्थान पर सेवाएं पंजीकृत हैं, वह इतना महत्वपूर्ण नहीं है, बस विधि में कन्फिगरसर्विस () विधि जोड़ें । लेकिन यहां आपको JWT टोकन चेक को कॉन्फ़िगर करने की आवश्यकता है। इसे यहीं परिभाषित किया जा सकता है, लेकिन मैं इसे एक अलग वर्ग में खींचने की सलाह देता हूं। इस प्रकार, कोड इस तरह दिख सकता है:

public void ConfigureServices(...) {
    services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme)
        .AddJwtBearer(o => {
            var validator = new JwtTokenValidator(...);
            o.SecurityTokenValidators.Add(validator);
        });
    services.AddAuthorization();
}

JwtTokenValidator वर्ग वह है जहां आप सत्यापन तर्क को परिभाषित करेंगे। आपको सही सेटिंग्स के साथ TokenValidationParameters वर्ग बनाने की आवश्यकता है और यह JWT के बाकी वैध काम करेगा। एक बोनस के रूप में, आप यहां सुरक्षा की एक अतिरिक्त परत जोड़ सकते हैं। इसकी आवश्यकता हो सकती है क्योंकि JWT एक प्रसिद्ध प्रारूप है। यदि आपके पास JWT है, तो आप jwt.io पर जा सकते हैं और कुछ जानकारी देख सकते हैं। मैं JWT में अतिरिक्त एन्क्रिप्शन जोड़ना पसंद करता हूं, जिससे डिक्रिप्शन अधिक कठिन हो जाता है। यहाँ एक सत्यापनकर्ता कैसा दिख सकता है:

public class JwtTokenValidator : ISecurityTokenValidator
{
    public bool CanReadToken(string securityToken) => true;
    
    public ClaimsPrincipal ValidateToken(string securityToken, TokenValidationParameters validationParameters, out SecurityToken validatedToken)
    {
        var handler = new JwtSecurityTokenHandler();
        var tokenValidationParameters = new TokenValidationParameters
        {
            ValidateIssuer = true,
            ValidateAudience = true,
            ValidateLifetime = true,
            ValidateIssuerSigningKey = true,
            ValidIssuer = "your string",
            ValidAudience = "your string",
            IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes("your secrete code"))
        };
        
        var claimsPrincipal = handler.ValidateToken(token, tokenValidationParameters, out validatedToken);
        return claimsPrincipal;
    }
    
    public bool CanValidateToken { get; } = true;
    public int MaximumTokenSizeInBytes { get; set; } = int.MaxValue;
}

और यह सभी एपीआई पक्ष की जरूरत है। क्लाइंट सेटअप इतिहास चयनित HTTP या HTTPS प्रोटोकॉल के आधार पर थोड़ा लंबा और थोड़ा अलग है।

GRpc सेवा के लिए हर अनुरोध के साथ HTTP हेडर भेजना

आप इसे आधिकारिक दस्तावेज से जान सकते हैं, जो वास्तव में आप डंबल कंसोल प्रोग्राम को छोड़कर कहीं भी उपयोग नहीं कर सकते हैं। उदाहरण के लिए, आप इसे यहाँ देख सकते हैं ।

var channel = GrpcChannel.ForAddress("https://localhost:5001");
var client = new Greeter.GreeterClient(channel);
var response = await client.SayHelloAsync(
    new HelloRequest { Name = "World" });
Console.WriteLine(response.Message);

एक वास्तविक परियोजना में इसका उपयोग करने के लिए, हमें अभी भी एक केंद्रीकृत विन्यास और डीआई की आवश्यकता है, जिन्हें लगभग नहीं माना जाता है। यहाँ है आपको क्या करने की जरूरत है। सबसे पहले, हमें अपनी परियोजना में आवश्यक न्यूगेट पैकेज जोड़ने होंगे। Grpc.Tools पैकेज आपको प्रोजेक्ट बनाते समय प्रोटोटाइप बनाने में मदद करेगा, और Grpc.Net.ClientFactory आपको DI सेट करने में मदद करेगा। जीआरपीसी के साथ काम करते समय, यदि आपको अनुरोध-प्रतिक्रिया श्रृंखला के बीच में कहीं अपना प्रसंस्करण लागू करने की आवश्यकता होती है, तो आपको इंटरसेप्टर से विरासत में प्राप्त वर्गों का उपयोग करने की आवश्यकता होती है , जो कि जीआरपीकोर का हिस्सा है । यदि आपको अपनी सेवाओं के अंदर HttpContext.User.Identity तक पहुंचने की आवश्यकता है , तो आप IHttpContextAccessor इंटरफ़ेस जोड़ सकते हैं

dotnet add package Grpc.Net.Client
dotnet add package Google.Protobuf
dotnet add package Grpc.Tools
dotnet add package Grpc.Net.ClientFactory

आपकी सेवा के लिए (इसके लिए सेवाओं में अतिरिक्त पंजीकरण की आवश्यकता होती है)। आपको अपनी स्टार्टअप फ़ाइल में निम्न जोड़ना होगा।

services.AddTransient<AuthHeadersInterceptor>();
services.AddHttpContextAccessor();

var httpClientBuilder = services.AddGrpcClient<MygRpcService.MygRpcServiceClient>(o => { o.Address = new Uri("grpc-endpoint-url"); });
httpClientBuilder.AddInterceptor<AuthHeadersInterceptor>();              
httpClientBuilder.ConfigureChannel(o => o.Credentials = ChannelCredentials.Insecure);

AuthHeadersInterceptor वर्ग हमारा अपना वर्ग है, जो इंटरसेप्टर वर्ग से लिया गया है । यह IHttpContextAccessor और registering .AddHttpContextAccessor () का उपयोग करता है ।

HTTP के लिए कॉन्फ़िगरेशन सुविधाएँ

आप निम्नलिखित विन्यास देख सकते हैं:

httpClientBuilder.ConfigureChannel(o => o.Credentials = ChannelCredentials.Insecure);

यह HTTP के माध्यम से काम करने के लिए आवश्यक है, लेकिन यह पर्याप्त नहीं है। आपको कॉन्फ़िगर () विधि से इस पंक्ति को बाहर करने की भी आवश्यकता है।

app.UseHttpsRedirection();

और फिर भी आपको किसी भी gRpc चैनल को बनाने से पहले एक विशेष सेटिंग स्थापित ~~करने के~~ लिए ~~नृत्य करने~~ की आवश्यकता है । यह एप्लिकेशन लॉन्च के दौरान केवल एक बार किया जा सकता है। इसलिए, मैंने इसे लगभग उसी स्थिति में जोड़ा जैसा कि ऊपर उल्लिखित डिलीट लाइन है। इसे केवल HTTP के लिए बुलाया जाना चाहिए।

AppContext.SetSwitch("System.Net.Http.SocketsHttpHandler.Http2UnencryptedSupport", true);

HTTPS के लिए कॉन्फ़िगरेशन सुविधाएँ

विंडोज और लिनक्स पर एसएसएल के साथ काम करने में कुछ कठिनाइयां हैं। ऐसा हो सकता है कि आप विंडोज कंप्यूटर पर विकसित हों और लिनक्स-आधारित छवियों का उपयोग करके डॉकटर / कुबेरनेट्स में तैनात हों। इस स्थिति में, कॉन्फ़िगरेशन कई पोस्ट्स में वर्णित सरल नहीं है। मैं एक अन्य लेख में इस कॉन्फ़िगरेशन का वर्णन करूंगा, और यहां मैं केवल कोड पर स्पर्श करूंगा।

हमें SSL क्रेडेंशियल का उपयोग करने के लिए gRpc चैनल को फिर से कॉन्फ़िगर करना होगा। यदि आप डॉकर में तैनात हैं और लिनक्स-आधारित चित्र बनाते हैं, तो आपको अमान्य प्रमाणपत्रों की अनुमति देने के लिए HttpClient को कॉन्फ़िगर करना पड़ सकता है। HttpClient प्रत्येक चैनल के लिए बनाया गया है।

httpClientBuilder.ConfigureChannel(o =>
{
    // add SSL credentials
    o.Credentials = new SslCredentials();
    // allow invalid/untrusted certificates
    var httpClientHandler = new HttpClientHandler
    {
        ServerCertificateCustomValidationCallback = HttpClientHandler.DangerousAcceptAnyServerCertificateValidator
    };
    var httpClient = new HttpClient(httpClientHandler);
    o.HttpClient = httpClient;
});

HTTP हेडर जोड़ना

हेडर्स को इंटरसेप्टर क्लास ( इंटरसेप्टर से उत्तराधिकारी ) में जोड़ा जाता है । gRpc मेटाडेटा की अवधारणा का उपयोग करता है, जो हेडर के रूप में अनुरोधों के साथ भेजा जाता है। इंटरसेप्टर वर्ग को कॉल संदर्भ के लिए मेटाडेटा जोड़ना चाहिए।

public class AuthHeadersInterceptor : Interceptor
{
    public AuthHeadersInterceptor(IHttpContextAccessor httpContextAccessor)
    {
        _httpContextAccessor = httpContextAccessor;
    }
    
    public override AsyncUnaryCall<TResponse> AsyncUnaryCall<TRequest, TResponse>(TRequest request, ClientInterceptorContext<TRequest, TResponse> context, AsyncUnaryCallContinuation<TRequest, TResponse> continuation)
    {
        var metadata = new Metadata
        {
            {HttpHeaderNames.Authorization, $"Bearer <JWT_TOKEN>"}
        };
        var userIdentity = _httpContextAccessor.HttpContext.User.Identity;
        if (userIdentity.IsAuthenticated)
        {
            metadata.Add(HttpHeaderNames.User, userIdentity.Name);
        }
        var callOption = context.Options.WithHeaders(metadata);
        context = new ClientInterceptorContext<TRequest, TResponse>(context.Method, context.Host, callOption);
        
        return base.AsyncUnaryCall(request, context, continuation);
    }
}

परिदृश्य के लिए, जब आप सिर्फ gRpc सेवा को कॉल करते हैं, तो आपको केवल AsyncUnaryCall पद्धति को ओवरराइड करना होगा । बेशक, JWT टोकन को कॉन्फ़िगरेशन फ़ाइलों में सहेजा जा सकता है।

और यह सब है। बाद में मैं वर्णित उपयोग के मामले के सरल उदाहरण के साथ कोड में एक लिंक जोड़ूंगा। यदि आपके कोई और प्रश्न हैं, तो कृपया मुझे लिखें। मैं जवाब देने की कोशिश करूंगा।