请求标头未转发到IdentityServer4

我正在使用ocelot作为我的微服务的API网关，并使用IdentityServer4进行身份验证。在ocelot配置文件中，我添加了“ AuthenticationOptions”并设置了api密钥。在启动中，添加身份服务器。在身份服务器中，我使用标头中的值来动态构建连接字符串。当我发送获取令牌的请求时，可以在身份服务中访问标头。但是当我发送带有令牌的下一个请求时，原始标头不可用。在身份服务中只能看到“主机”标头。

在将请求路由到身份服务器时，是否可以保留原始标头？

Startup.cs（添加身份服务器）

services
    .AddAuthentication()
    .AddIdentityServerAuthentication("APIParts", options =>
    {
        options.Authority = "http://localhost:60168";
        options.RequireHttpsMetadata = false;
        options.ApiName = "Parts";
        options.SupportedTokens = SupportedTokens.Both;
    });

ocelot.json

ReRoutes": [
{
  "DownstreamPathTemplate": "/connect/token",
  "DownstreamScheme": "http",
  "DownstreamHostAndPorts": [
    {
      "Host": "localhost",
      "Port": 60168
    }
  ],
  "UpstreamPathTemplate": "/token",
  "UpstreamHttpMethod": [ "Post" ]
},
{
  "DownstreamPathTemplate": "/api/Parts/Inventory",
  "DownstreamScheme": "http",
  "DownstreamHostAndPorts": [
    {
      "Host": "localhost",
      "Port": 65241
    }
  ],
  "UpstreamPathTemplate": "/api/Parts/Inventory",
  "AuthenticationOptions": {
    "AuthenticationProviderKey": "APIParts",
    "AllowedScopes": []
  }
}]

c# .net-core identityserver4 ocelot

— Chamal Pradeep Rajapakse
source

在深入探讨它之前，您可以解释为什么将不同的端口用于Identity Server身份验证和API。我认为可能会出现问题，因为在生成API请求时，身份授权会尝试在与API相同的端口上验证令牌，因此您可以同时提供相同的端口并尝试使用它。

— 瑙曼·汗

您可以张贴一些代码来显示您如何尝试访问标头以建立连接字符串吗？另外，您想阅读什么标题？如果是主机头，那么您将遇到问题。

— Nix

我不熟悉Ocelot，但是在我的体系结构中，我有IdentityServer在负载均衡器后面运行，并通过Nginx Ingress在Kubernetes集群中路由，这需要我在IdentityServer的Startup.Configure方法中配置标头转发，如下所示：

var forwardOptions = new ForwardedHeadersOptions
{
    ForwardedHeaders = ForwardedHeaders.XForwardedFor | ForwardedHeaders.XForwardedProto,
    RequireHeaderSymmetry = false
};

forwardOptions.KnownNetworks.Clear();
forwardOptions.KnownProxies.Clear();
app.UseForwardedHeaders(forwardOptions);

— 尼克·克伦威尔
source