Ocelot网关在IIS环境下实现Windows身份认证的技术方案

背景介绍

在微服务架构中使用API网关时，Windows身份认证是一个常见的需求。Ocelot作为.NET生态中流行的API网关解决方案，在IIS环境下实现Windows认证时会遇到一些特定的技术挑战。本文将详细介绍如何解决Ocelot网关在IIS环境中实现Windows认证时遇到的401.1错误问题。

问题现象

开发者在IIS环境中部署Ocelot网关时遇到以下现象：

1. 所有请求都以第一个用户的身份执行
2. 启用authPersistSingleRequest=True后，快速连续发送多个请求时部分请求返回401.1错误（"The token supplied to the function is invalid"）
3. 直接访问后端服务时不会出现此问题

技术分析

这些问题源于IIS和Ocelot在处理Windows认证时的几个关键因素：

1. 连接池问题：默认情况下，HttpClient会重用连接，这可能导致认证凭据被错误地重用
2. 认证持久性：authPersistSingleRequest设置影响认证令牌的保持方式
3. 本地回环限制：当网关和后端服务部署在同一服务器时，Windows认证存在特殊限制

完整解决方案

经过实践验证，以下配置组合可以稳定实现Ocelot网关的Windows认证功能：

1. IIS配置要求

• 网关服务器：启用Windows认证
• 后端服务：启用Windows认证
• 保持authPersistSingleRequest=False（默认值）

2. 代码层面修改

实现自定义的DelegatingHandler，强制设置UseDefaultCredentials：

public class WindowsAuthHandler : DelegatingHandler
{
    protected override async Task<HttpResponseMessage> SendAsync(
        HttpRequestMessage request, 
        CancellationToken cancellationToken)
    {
        request.Headers.ConnectionClose = true;
        request.UseDefaultCredentials = true;
        return await base.SendAsync(request, cancellationToken);
    }
}

3. Ocelot配置调整

在HttpHandlerOptions中设置PooledConnectionLifeTime为0，禁用连接重用：

"HttpHandlerOptions": {
    "PooledConnectionLifeTime": 0
}

4. 系统注册表修改

当网关和后端服务部署在同一服务器时，需要修改注册表：

路径：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0 键名：BackConnectionHostNames 值：添加你的站点域名

实现原理

1. 禁用连接池：通过设置PooledConnectionLifeTime为0，确保每个请求都使用新的TCP连接，避免认证凭据被错误重用
2. 强制默认凭据：自定义Handler确保每个请求都携带当前用户的Windows凭据
3. 本地回环处理：注册表修改解决了同一服务器上服务间Windows认证的特殊限制

注意事项

1. 此方案专为IIS托管环境设计，不适用于自托管场景（如Docker中的Kestrel）
2. 禁用连接池会增加系统开销，但确保了认证的正确性
3. 在生产环境中应考虑性能和安全性的平衡

总结

通过上述组合方案，开发者可以在IIS环境中稳定实现Ocelot网关的Windows认证功能。这个方案解决了认证凭据重用、本地回环限制等关键问题，为类似场景提供了可靠的技术参考。