Ocelot网关在IIS环境下实现Windows认证的技术方案

2025-05-27 11:22:07作者：戚魁泉Nursing

**Ocelot：.NET领域的微服务大门** Ocelot是一个专为.NET架构设计的API网关，旨在为采用微服务或面向服务架构的系统提供统一入口。它兼容任何基于HTTP(S)的交互，并在ASP.NET Core支持的所有平台上运行自如。通过整合IdentityServer token管理，Ocelot不仅简化了安全集成，还提供了路由、请求聚合、GraphQL支持、服务发现等强大功能。这堆中间件以特定顺序运作，智能操纵HTTP请求直达下游服务，再将响应优雅返回客户端。无论是在负载均衡、访问控制，还是缓存和QoS管理上，Ocelot都展现出灵活性与全面性，成为连接您的服务与世界的坚实桥梁。借助其REST API轻松配置与管理，在多云环境下同样游刃有余。无论是新手还是资深开发者，都能在此找到贡献代码的机会，一起构建更强大的微服务生态系统！

项目地址：https://gitcode.com/gh_mirrors/oce/Ocelot

背景介绍

在微服务架构中，API网关作为系统入口承担着重要的路由和认证功能。Ocelot作为.NET生态中流行的API网关解决方案，在实际部署时可能会遇到Windows认证相关的问题。本文将详细介绍在IIS环境下配置Ocelot网关实现Windows认证的完整技术方案。

核心问题分析

当Ocelot网关部署在IIS服务器上，并与同样使用Windows认证的后端服务交互时，开发者常会遇到两个典型问题：

所有请求都以第一个用户的身份执行，导致权限混乱
高并发请求时出现401.1错误（"提供的令牌无效"）

这些问题源于Windows认证在IIS和Ocelot交互过程中的特殊机制，特别是认证令牌的持久化和连接复用方面。

完整解决方案

1. IIS基础配置

首先确保网关和服务端都正确启用了Windows认证：

网关IIS站点：启用Windows认证
服务端IIS站点：启用Windows认证
禁用authPersistSingleRequest设置（保持为False）

2. 实现自定义DelegatingHandler

创建一个自定义的DelegatingHandler，强制设置HttpClient使用默认凭据：

public class WindowsAuthDelegatingHandler : DelegatingHandler
{
    protected override async Task<HttpResponseMessage> SendAsync(
        HttpRequestMessage request, 
        CancellationToken cancellationToken)
    {
        request.Headers.ConnectionClose = true;
        request.Version = HttpVersion.Version11;
        
        if (request.Properties.ContainsKey("WebRequestHandler"))
        {
            var webRequestHandler = (WebRequestHandler)request.Properties["WebRequestHandler"];
            webRequestHandler.UseDefaultCredentials = true;
        }
        
        return await base.SendAsync(request, cancellationToken);
    }
}

3. 连接池配置调整

在Ocelot配置中设置HttpHandler选项，禁用连接池复用：

"HttpHandlerOptions": {
    "AllowAutoRedirect": false,
    "UseCookieContainer": false,
    "UseTracing": false,
    "UseProxy": true,
    "PooledConnectionLifetime": "0.0:0:0"
}