Identity Server4 笔记
本文共 13675 字,大约阅读时间需要 45 分钟。
文章目录
一.角色
1.身份认证服务器
简而言之,他就是一个向客户端发送安全令牌的软件。
身份认证服务器的主要功能
- 保护您的资源
- 使用本地帐户存储或通过外部身份提供商对用户进行身份验证(例如微信登录)
- 提供会话管理和单点登录
- 管理和认证客户
- 向客户端发布身份和访问令牌
- 验证令牌
主要支持的协议
- OpenID Connect
- OAuth 2.0
2.用户
使用客户端的人
3.客户端
客户端是一种从IdentityServer请求令牌的软件-用于认证用户(请求身份令牌)或访问资源(请求访问令牌)。客户端必须先向授权服务器注册,然后才能请求令牌。
客户端可以是 web 应用程序,或者桌面应用程序,或移动程序
4. 资源
ID4 要保护的 API 或 身份数据 (因为我主要是webapi,所以后边主要使用 webapi 举例子)
API 都有一个独一无二的名字,客户端使用这个名字来指定他要访问的是哪个 API。 5.Identity Token(身份令牌)
表示身份认证完成后的结果
他至少包括用户的身份信息,什么时候和怎么样去使用权限。
6.Access Token(访问令牌)
Access Token 是用来获取 API 的。客户端接受 access token,并将将她专送给 受保护的 API。
Access Token 里面包含客户端和使用者的信息(如果有的话),
如何理解 Identity token 和 Access Token 的关系?
可以把 Identity token 想象成在门卫那里领到的,证明你身份的条,而 Access Token是你可以 要进入 API 的钥匙 。(这是我自己的理解,不一定准确)
id4官方给的例子
网址
二.客户端凭据的认证方式
没有用户参与的程序。使用的是 Client Credentials(客户端证书)这种授权方式。
里面用到的三个项目的 nuget 包是不一样的。
- IdentityServer : IdentityServer4
- API :JwtBearer (解析jwt文件)
- Client : IdentityModel (方便寻找 identityserver 的 api 接口的)
1.建立 IdentityServer4
1.用类的方式,声明配置文佳
public static class Config { //定义API public static IEnumerable ApiScopes => new List { new ApiScope("api1", "My API") }; //定义客户端 // 定义访问 API 的客户端应用 // 这种情况下,客户端没有交互式的用户,只能通过客户端密钥进行身份验证。 // ClientId 和 Client Secret 可以视为登录名和密码。让身份认证服务器知道是哪个用户。 public static IEnumerable Clients => new List { new Client { // 定义一个客户端 ClientId = "client", // 认证类型。 //使用客户端密钥的方式进行验证。 AllowedGrantTypes = GrantTypes.ClientCredentials, // 认证的密码 ClientSecrets = { new Secret("secret".Sha256()) }, // 这个客户端端可以访问的 API AllowedScopes = { "api1" } } }; 2.在 Startup 里面做调用设置
public Startup(IConfiguration configuration) { Configuration = configuration; } public IConfiguration Configuration { get; } public void ConfigureServices(IServiceCollection services) { services.AddControllers(); var builder = services.AddIdentityServer() .AddInMemoryApiScopes(Config.ApiScopes) // 那个api可以使用 .AddInMemoryClients(Config.Clients)// 哪个client可以使用 .AddDeveloperSigningCredential() ;//解决连接不上的问题,实际中,签名需要一对公钥和私钥,他会帮我们将公钥和私钥存储到硬盘上 } public void Configure(IApplicationBuilder app, IWebHostEnvironment env) { if (env.IsDevelopment()) { app.UseDeveloperExceptionPage(); } app.UseRouting(); app.UseIdentityServer();//使用 Identity 4 app.UseEndpoints(endpoints => { endpoints.MapControllers(); }); } 重生成,而使用命令行运行一下
dotnet … --urls http://*:5001
2.建立受保护的API
1.建立要访问受保护的 Action
[ApiController] public class IdentityController : ControllerBase { [HttpGet("identity")] [Authorize] public IActionResult Get() { return new JsonResult(from c in User.Claims select new { c.Type, c.Value }); } [Authorize] [HttpGet("test")] public string Getst() { return "受保护的 API 访问成功"; } } 2.在startup 里面进行配置
public void ConfigureServices(IServiceCollection services) { services.AddControllers(); //接受授服务器发送的任何访问令牌。 services.AddAuthentication("Bearer") .AddJwtBearer("Bearer", options => { options.Authority = "https://localhost:5001"; options.TokenValidationParameters = new TokenValidationParameters { ValidateAudience = false }; }); // 允许检测客户端请求的令牌中是否存在作用域 services.AddAuthorization(options => { options.AddPolicy("ApiScope", policy => { policy.RequireAuthenticatedUser(); policy.RequireClaim("scope", "api1"); }); }); } public void Configure(IApplicationBuilder app, IWebHostEnvironment env) { if (env.IsDevelopment()) { app.UseDeveloperExceptionPage(); } app.UseRouting(); app.UseAuthentication();//每次都要执行身份验证. app.UseAuthorization(); //授权,确保匿名客户端无法访问我们的 api 端点 app.UseEndpoints(endpoints => { endpoints.MapControllers(); }); } 3.建立用来访问的客户端
public class Program { // IdentityModel包括一个与发现端点一起使用的客户端库。这样,您只需要知道IdentityServer的基地址-可以从元数据中读取实际的端点地址: //找到授权的服务器 public static async System.Threading.Tasks.Task Main(string[] args) { //找到授权服务器 var client = new HttpClient(); var disco = await client.GetDiscoveryDocumentAsync("http://localhost:5001"); //异步的方法名前边必须声明 async if (disco.IsError) { Console.WriteLine($"连接失败****{disco.Error}"); return; } //向授权服务器请求 token var tokenResponse = await client.RequestClientCredentialsTokenAsync(new ClientCredentialsTokenRequest { Address = disco.TokenEndpoint, ClientId = "client", ClientSecret = "secret", Scope = "api1" }); if (tokenResponse.IsError) { Console.WriteLine("token返回错误", tokenResponse.Error); return; } Console.WriteLine(tokenResponse.Json); //将访问令牌发送给 API var apiClient = new HttpClient(); apiClient.SetBearerToken(tokenResponse.AccessToken); var response = await apiClient.GetAsync("http://localhost:6001/test"); if (!response.IsSuccessStatusCode) { Console.WriteLine(response.StatusCode); Console.WriteLine("访问失败"); } else { var content = await response.Content.ReadAsStringAsync(); Console.WriteLine("访问成功"); // Console.WriteLine(JArray.Parse(content)); Console.WriteLine(content); } Console.ReadLine(); } 具体查看gitee代码:
4.保护WPF客户端
这种是有用户参与的,使用的是 Password Grant (用名名密码)这种授权方式。
1.流程
运行的顺序和字母的顺序是一致的:
- 浏览器要将请求传到用户代理
- 用户代理再连接 身份认证服务器,并将返回信息返回给用户代理,由用户决定要不要授权。
- 如果用户点了同意,那么,用户代理 就会再跳回浏览器,并带有 Authorization Code 。
- 然后浏览器带着 Authorization code 到 身份认证服务器。请求 access token。
所以在这个过程之中,即对用户进行身份认证,也对浏览器进行身份认证。
具体操作看代码吧。我也没用过MVC
2.为MVC刷新 token
使用 Refresh Token 刷新 Access Token。
1.在MVC 客户端进行设置
new Client { ClientId = "mvc client", ClientName = "ASP.NET Core MVC Client", // 随便写 AllowedGrantTypes = GrantTypes.CodeAndClientCredentials,//允许两种授权方式. ClientSecrets = { new Secret("mvc secret".Sha256()) },//密码. //下边都是固定的地址。 RedirectUris = { "http://localhost:5002/signin-oidc" }, FrontChannelLogoutUri = "http://localhost:5002/signout-oidc", PostLogoutRedirectUris = { "http://localhost:5002/signout-callback-oidc" }, AlwaysIncludeUserClaimsInIdToken = true, AllowOfflineAccess = true, // offline_access //默认是一个小时。现在改成 60s 。 AccessTokenLifetime = 60, // 60 seconds AllowedScopes = { "api1", IdentityServerConstants.StandardScopes.OpenId, IdentityServerConstants.StandardScopes.Email, IdentityServerConstants.StandardScopes.Address, IdentityServerConstants.StandardScopes.Phone, IdentityServerConstants.StandardScopes.Profile } }, 但是仅仅这样设置,过了一分钟以后,进入 MVC ,依然还能得到 API 的相关信息 。这是因为我们的 API 没有设置对于 对于token检验。
2.对受保护的 API进行设置
services.AddAuthentication("Bearer")//bearer 的授权方式。 .AddJwtBearer("Bearer", options => { options.Authority = "https://localhost:5000"; options.RequireHttpsMetadata = false;//不需要https options.TokenValidationParameters = new TokenValidationParameters { ValidateAudience = false }; //每隔一分钟,验证一次这个token options.TokenValidationParameters.RequireExpirationTime = true; //必须要有超时时间这个参数。 options.TokenValidationParameters.ClockSkew = TimeSpan.FromMinutes(1); }); 3.刷新 Token
在 MVC 的控制器里面,再添加一个 action ,用来刷新 Token。
//刷新 token private async TaskRenewTokensAsync() { //发现文档 var client = new HttpClient(); var disco = await client.GetDiscoveryDocumentAsync("http://localhost:5000"); if (disco.IsError) { throw new Exception(disco.Error); } //获取 refreshToken var refreshToken = await HttpContext.GetTokenAsync(OpenIdConnectParameterNames.RefreshToken); //请求token var tokenResponse = await client.RequestRefreshTokenAsync(new RefreshTokenRequest { Address = disco.TokenEndpoint, ClientId = "mvc client", ClientSecret = "mvc secret", Scope = "api1 openid profile email phone address", GrantType = OpenIdConnectGrantTypes.RefreshToken, RefreshToken = refreshToken }); if (tokenResponse.IsError) { throw new Exception(tokenResponse.Error); } //超时时间,使用的是 UTC 时间。 var expiresAt = DateTime.UtcNow + TimeSpan.FromSeconds(tokenResponse.ExpiresIn); // 把 token 数组全部集中起来,做成一个数组。 var tokens = new[] { new AuthenticationToken { Name = OpenIdConnectParameterNames.IdToken, Value = tokenResponse.IdentityToken }, new AuthenticationToken { Name = OpenIdConnectParameterNames.AccessToken, Value = tokenResponse.AccessToken }, new AuthenticationToken { Name = OpenIdConnectParameterNames.RefreshToken, Value = tokenResponse.RefreshToken }, new AuthenticationToken { Name = "expires_at", Value = expiresAt.ToString("o", CultureInfo.InvariantCulture) } }; // 获取身份认证的结果,包含当前的pricipal和properties var currentAuthenticateResult = await HttpContext.AuthenticateAsync(CookieAuthenticationDefaults.AuthenticationScheme); // 把获得的token再更新一遍。 currentAuthenticateResult.Properties.StoreTokens(tokens); // 再进行以下登录动作. await HttpContext.SignInAsync(CookieAuthenticationDefaults.AuthenticationScheme, currentAuthenticateResult.Principal, currentAuthenticateResult.Properties); // 再把 access token 返回过去. return tokenResponse.AccessToken; }
在前边用到token的地方,再更新一下这个方法:
var response = await client.GetAsync("http://localhost:5001/identity"); if (!response.IsSuccessStatusCode) { if (response.StatusCode == HttpStatusCode.Unauthorized) { await RenewTokensAsync(); return RedirectToAction(); } throw new Exception(response.ReasonPhrase); } 5.Implicit Flow
- 用于公共客户端 ,比如用 Angular 这种做的。CS 的文件。如果有些保密文件,可以很容易的获取。
- 最好是客户端可以直接从浏览器 访问资源。
- 没有显示的客户端身份认证。
6. Hybrid Flow
- 访问被保护资源
- 刷新 Access Token
- 处理 Claims
- 基于策略的权限
使用 Hybrid 保护 api 资源。
之前使用的 OpenId Connect 隐式流,所有的令牌都是通过浏览器来传输,这对于 ID token 来说当然没有问题,但是我们还想请求一个 access token,accesstoken 更加敏感,所以在没有必要的时候,我们不会想把他暴露给外部世界, OpenID Connect 包含了一个叫做 “混合流(Hybrid flowe)”,它为我们提供了两方面的优点,身份令牌通过浏览器频道来传输,这样客户端就能能够在做任何工作前验证他,如果验证成功,客户端就会打开一个后端通道,来链接令牌,以检索访问令牌。
1.客户端类型
- 机密客户端:这种客户端有能力维护其凭据的机密性。位于服务端,例如服务器端的 Web 应用,例如 MVC。
- 公开客户端:这种客户端无法维持其凭据的机密性,位于客户端设备,例如 JS 应用,移动应用,原生应用和软件等。
OAuth2.和相比OpenID 就是相当于多出来一个 hybirid Flow
2.返回类型
根据 respons_type 的不同,分为三种情况:
- response_type = code Id_token
- response_type = code token
- response_type = code id_token token
3.角色和策略
- 角色:规定几个角色,然后每个角色里面添加若干个用户。一个用户可以处于不同的角色。
- 通过策略授予权限,可以将多个属性后者
3.1基于角色
在注册的用户里面直接声明 管理员角色
使用的时候,直接声明;
[Authorize(Roles ="管理员,普通用户")] [HttpGet("test")] public string Getst() { return "受保护的 API 访问成功"; } 3.2基于策略
比如:定义把名字为Smith,地址为Somewhere的作为条件。
总的来讲,基于策略的更加的灵活,我们可以自己定义:比如只让 firstname== “ 张 ”的人登录
在客户端声明:
services.AddAuthorization(options => { options.AddPolicy("SmithInSomewhere", builder => { builder.RequireAuthenticatedUser(); builder.RequireClaim(JwtClaimTypes.FamilyName, "Smith"); builder.RequireClaim("location", "somewhere"); }); 在API调用
[Authorize(Policy ="sithInSomewhere")] public IActionResult Index() { var user = User.Identity; return View(); } 4.使用混合流保护客户端
参考文献
[1]
[2] [3] [4]转载地址:http://xuwl.baihongyu.com/
你可能感兴趣的文章
MSTP是什么?有哪些专有名词?
查看>>
Mstsc 远程桌面链接 And 网络映射
查看>>
Myeclipse常用快捷键
查看>>
MyEclipse更改项目名web发布名字不改问题
查看>>
MyEclipse用(JDBC)连接SQL出现的问题~
查看>>
mt-datetime-picker type="date" 时间格式 bug
查看>>
myeclipse的新建severlet不见解决方法
查看>>
MyEclipse设置当前行背景颜色、选中单词前景色、背景色
查看>>
Mtab书签导航程序 LinkStore/getIcon SQL注入漏洞复现
查看>>
myeclipse配置springmvc教程
查看>>
MyEclipse配置SVN
查看>>
MTCNN 人脸检测
查看>>
MyEcplise中SpringBoot怎样定制启动banner?
查看>>
MyPython
查看>>
MTD技术介绍
查看>>
MySQL
查看>>
MySQL
查看>>
mysql
查看>>
MTK Android 如何获取系统权限
查看>>
MySQL - 4种基本索引、聚簇索引和非聚索引、索引失效情况、SQL 优化
查看>>