本文共 7531 字，大约阅读时间需要 25 分钟。

一. 角色

1. 身份认证服务器

身份认证服务器是一个向客户端发送安全令牌的软件。它的主要功能包括：

• 保护资源：确保只有授权用户能够访问受保护的API。
• 身份验证：使用本地帐户或外部身份提供商（如微信登录）验证用户身份。
• 会话管理：提供单点登录功能，管理用户会话。
• 客户端管理：认证并管理客户端应用程序。
• 令牌发布：向客户端发布身份令牌（Identity Token）和访问令牌（Access Token）。
• 令牌验证：验证客户端提交的令牌，确保其合法性。

身份认证服务器主要支持以下协议：

• OpenID Connect：提供身份验证和单点登录功能。
• OAuth 2.0：用于客户端认证和资源访问。

2. 用户

用户是使用客户端的人，通过身份认证服务器获取访问令牌，从而能够访问受保护的API。

3. 客户端

客户端是请求身份认证服务器获取令牌的软件，用于认证用户（获取身份令牌）或访问资源（获取访问令牌）。客户端必须先注册于身份认证服务器，才能请求令牌。常见类型包括：

• 机密客户端：运行在服务端，例如Web应用程序，使用客户端密钥进行认证。
• 公开客户端：运行在客户端设备，例如移动应用或原生应用，通常用于隐式流（Implicit Flow）。

4. 资源

资源是被保护的API或身份数据。每个API有一个唯一的名称，客户端使用该名称指定要访问的API。

5. 身份令牌（Identity Token）

身份令牌表示身份认证完成的结果，至少包含用户的身份信息及权限信息。它通常用于验证用户身份。

6. 访问令牌（Access Token）

访问令牌用于获取API访问权限。客户端通过提交访问令牌向受保护API进行认证，令牌包含客户端和使用者的信息。

二. 客户端凭据的认证方式

在没有用户参与的程序中，客户端使用客户端凭据（Client Credentials）进行认证。这种方式不涉及用户交互，完全依赖于程序的配置。

1. 建立 IdentityServer4

配置IdentityServer4的步骤如下：

public static class Config{    public static IEnumerable
   
     ApiScopes    {        return new List
    
             {            new ApiScope("api1", "My API")        };    }    public static IEnumerable
     
       Clients    {        return new List
      
               {            new Client            {                ClientId = "client",                AllowedGrantTypes = GrantTypes.ClientCredentials,                ClientSecrets = { new Secret("secret".Sha256()) },                AllowedScopes = { "api1" }            }        };    }}
      
     
    
   

2. 配置服务：在Startup类中添加IdentityServer4服务，并配置客户端。

public class Startup : IStartup{    public IConfiguration Configuration { get; set; }    public Startup(IConfiguration configuration)    {        Configuration = configuration;    }    public void ConfigureServices(IServiceCollection services)    {        services.AddControllers();        var builder = services.AddIdentityServer()            .AddInMemoryApiScopes(Config.ApiScopes)            .AddInMemoryClients(Config.Clients)            .AddDeveloperSigningCredential();    }    public void Configure(IApplicationBuilder app, IWebHostEnvironment env)    {        if (env.IsDevelopment())        {            app.UseDeveloperExceptionPage();        }        app.UseRouting();        app.UseAuthentication();        app.UseAuthorization();        app.UseEndpoints(endpoints =>        {            endpoints.MapControllers();        });    }}

3. 运行命令：使用命令行运行IdentityServer4。

dotnet run --urls http://*:5001

2. 建立受保护的API

4. 定义受保护的API：在IdentityController中使用[Authorize]属性标记受保护的端点。

[ApiController]public class IdentityController : ControllerBase{    [Authorize]    [HttpGet("identity")]    public IActionResult Get()    {        return new JsonResult(from c in User.Claims select new { c.Type, c.Value });    }    [Authorize]    [HttpGet("test")]    public string Getst()    {        return "受保护的API访问成功";    }}

2. 配置服务：在Startup类中添加认证和授权服务。

public void ConfigureServices(IServiceCollection services){    services.AddControllers();    services.AddAuthentication("Bearer")        .AddJwtBearer("Bearer", options =>        {            options.Authority = "https://localhost:5001";            options.TokenValidationParameters = new TokenValidationParameters            {                ValidateAudience = false            };        });    services.AddAuthorization(options =>    {        options.AddPolicy("ApiScope", policy =>        {            policy.RequireAuthenticatedUser();            policy.RequireClaim("scope", "api1");        });    });}public void Configure(IApplicationBuilder app, IWebHostEnvironment env){    if (env.IsDevelopment())    {        app.UseDeveloperExceptionPage();    }    app.UseRouting();    app.UseAuthentication();    app.UseAuthorization();    app.UseEndpoints(endpoints =>    {        endpoints.MapControllers();    });}

3. 客户端获取令牌：使用HttpClient获取令牌。

public class Program{    public static async Task Main(string[] args)    {        var client = new HttpClient();        var disco = await client.GetDiscoveryDocumentAsync("http://localhost:5001");        if (disco.IsError)        {            Console.WriteLine($"连接失败：{disco.Error}");            return;        }        var tokenResponse = await client.RequestClientCredentialsTokenAsync(new ClientCredentialsTokenRequest        {            Address = disco.TokenEndpoint,            ClientId = "client",            ClientSecret = "secret",            Scope = "api1"        });        if (tokenResponse.IsError)        {            Console.WriteLine($"token返回错误：{tokenResponse.Error}");            return;        }        Console.WriteLine(tokenResponse.Json);        var apiClient = new HttpClient();        apiClient.SetBearerToken(tokenResponse.AccessToken);        var response = await apiClient.GetAsync("http://localhost:6001/test");        if (!response.IsSuccessStatusCode)        {            Console.WriteLine(response.StatusCode);            Console.WriteLine("访问失败");        }        else        {            var content = await response.Content.ReadAsStringAsync();            Console.WriteLine("访问成功");            Console.WriteLine(content);        }        Console.ReadLine();    }}

3. 保护WPF客户端

WPF客户端涉及用户交互，使用密码grant类型进行认证。

4. 流程：
• 浏览器将请求传给用户代理。
• 用户代理连接身份认证服务器，获取授权代码。
• 用户同意后，浏览器将授权代码提交至身份认证服务器，获取访问令牌。
• 客户端使用访问令牌访问受保护API。
2. 刷新令牌：在MVC控制器中添加令牌刷新功能。

private async Task
        
          RenewTokensAsync(){    var client = new HttpClient();    var disco = await client.GetDiscoveryDocumentAsync("http://localhost:5000");    if (disco.IsError)    {        throw new Exception(disco.Error);    }    var refreshToken = await HttpContext.GetTokenAsync(OpenIdConnectParameterNames.RefreshToken);    var tokenResponse = await client.RequestRefreshTokenAsync(new RefreshTokenRequest    {        Address = disco.TokenEndpoint,        ClientId = "mvc client",        ClientSecret = "mvc secret",        Scope = "api1 openid profile email phone address",        GrantType = OpenIdConnectGrantTypes.RefreshToken,        RefreshToken = refreshToken    });    if (tokenResponse.IsError)    {        throw new Exception(tokenResponse.Error);    }    var expiresAt = DateTime.UtcNow + TimeSpan.FromSeconds(tokenResponse.ExpiresIn);    var tokens = new[]    {        new AuthenticationToken        {            Name = OpenIdConnectParameterNames.IdToken,            Value = tokenResponse.IdentityToken        },        new AuthenticationToken        {            Name = OpenIdConnectParameterNames.AccessToken,            Value = tokenResponse.AccessToken        },        new AuthenticationToken        {            Name = OpenIdConnectParameterNames.RefreshToken,            Value = tokenResponse.RefreshToken        },        new AuthenticationToken        {            Name = "expires_at",            Value = expiresAt.ToString("o", CultureInfo.InvariantCulture)        }    };    await HttpContext.AuthenticateAsync(CookieAuthenticationDefaults.AuthenticationScheme);    currentAuthenticateResult.Properties.StoreTokens(tokens);    await HttpContext.SignInAsync(CookieAuthenticationDefaults.AuthenticationScheme, currentAuthenticateResult.Principal, currentAuthenticateResult.Properties);    return tokenResponse.AccessToken;}
        

三. 混合流

混合流结合了隐式流和客户端凭据流的优点，适用于需要获取身份令牌和访问令牌的场景。

3. 客户端类型：
• 机密客户端：适用于服务端应用，如MVC。
• 公开客户端：适用于桌面应用、移动应用等。
2. 返回类型：
• response_type = code Id_token
• response_type = code token
• response_type = code id_token token

四. 角色和策略

3. 角色：
• 定义多个角色，如管理员和普通用户。
• 每个角色可以包含多个用户。
2. 策略：
• 基于角色：使用[Authorize(Roles = "管理员，普通用户")]限制访问权限。
• 基于策略：定义自定义策略，如RequireClaim(JwtClaimTypes.FamilyName, "Smith")。

五. 使用混合流保护客户端

混合流允许客户端在不直接暴露访问令牌的情况下，通过后端通道获取令牌，从而保护敏感信息。

参考文献

[1] [2] [3] [4]

转载地址：http://xuwl.baihongyu.com/