本文于 2019/4/3 更新,去掉了旧文的部分讲解,主要是关于混合流程和简化流程的区别,我决定单独写一篇博文来介绍。所以本文现在已经为纯翻译。

原文:Switching to Hybrid Flow and adding API Access back

在之前的快速入门中,我们探讨了API访问和用户身份认证。现在我们把这两个部分结合在一起。

OpenID Connect和OAuth 2.0组合的优点在于,您可以使用单一协议和单一交换使用令牌服务来使用这两种协议。

在之前的快速入门中,我们使用了OpenID Connect 简化流程。在简化流程中,所有令牌(身份令牌、访问令牌)都通过浏览器传输,这对于身份令牌(IdentityToken)来说是没有问题的,但是如果是访问令牌直接通过浏览器传输,就增加了一定的安全问题。

访问令牌(AccessToken)比身份令牌(IdentityToken)更敏感,在非必须的情况下,我们不希望将它们暴露给外界。OpenID Connect 包含一个名为“Hybrid(混合)”的流程,它为我们提供了两全其美的优势,身份令牌通过浏览器传输,因此客户端可以在进行任何更多工作之前对其进行验证。如果验证成功,客户端会通过令牌服务的以获取访问令牌。

修改客户端配置

没有太多的修改。首先,我们希望允许客户端使用混合流程,此外我们还希望客户端允许执行不在用户上下文中的服务器到服务器API调用(这与我们的客户端授权模式的快速入门非常相似)。这是使用AllowedGrantTypes属性表示的。

接下来我们需要添加一个客户端密钥。这将用于获取访问令牌。

最后还需要设置 AllowOfflineAccess ,它允许我们通过刷新令牌的方式来实现长期的API访问。

new Client

{

    ClientId = "mvc",

    ClientName = "MVC Client",

    AllowedGrantTypes = GrantTypes.Hybrid,

    ClientSecrets =

    {

        new Secret("secret".Sha256())

    },

    RedirectUris           = { "http://localhost:5002/signin-oidc" },

    PostLogoutRedirectUris = { "http://localhost:5002/signout-callback-oidc" },

    AllowedScopes =

    {

        IdentityServerConstants.StandardScopes.OpenId,

        IdentityServerConstants.StandardScopes.Profile,

        "api1"

    },

    AllowOfflineAccess = true

};

修改MVC客户端

MVC客户端的修改也很少 - ASP.NET Core OpenID Connect 处理程序内置了对混合流程的支持,因此我们只需要更改一些配置值。

配置 ClientSecret 匹配IdentityServer中设置的 Client Secret,Scope 添加 offline_accessapi1ResponseType 设置为 code id_token (表示使用混合流程,通过浏览器返回身份令牌)

.AddOpenIdConnect("oidc", options =>

{

    options.SignInScheme = "Cookies";

    options.Authority = "http://localhost:5000";

    options.RequireHttpsMetadata = false;

    options.ClientId = "mvc";

    options.ClientSecret = "secret";

    options.ResponseType = "code id_token";

    options.SaveTokens = true;

    options.GetClaimsFromUserInfoEndpoint = true;

    options.Scope.Add("api1");

    options.Scope.Add("offline_access");

    options.ClaimActions.MapJsonKey("website", "website");

});

当您运行MVC客户端时,除了现在同意授权页面要求您提供额外的 offline_accessapi1 Scope 之外,没有太大的区别。

使用访问令牌

OpenID Connect 处理程序会自动为您保存令牌(在我们的案例中为身份令牌,访问令牌和刷新令牌)。这就是SaveTokens设置的作用。

从技术上讲,令牌存储在cookie中。访问它们的最简单方法是使用Microsoft.AspNetCore.Authentication命名空间中的扩展方法。

例如:

var accessToken = await HttpContext.GetTokenAsync("access_token")

var refreshToken = await HttpContext.GetTokenAsync("refresh_token");

要使用访问令牌访问API,您需要做的就是先获取访问令牌,然后在HttpClient上设置它:

public async Task<IActionResult> CallApi()

{

    var accessToken = await HttpContext.GetTokenAsync("access_token");

    var client = new HttpClient();

    client.DefaultRequestHeaders.Authorization = new AuthenticationHeaderValue("Bearer", accessToken);

    var content = await client.GetStringAsync("http://localhost:5001/identity");

    ViewBag.Json = JArray.Parse(content).ToString();

    return View("json");

}

创建一个名为json.cshtmljson 的视图:

<pre>@ViewBag.Json</pre>

启动MVC客户端并在身份验证后调用访问/home/CallApi以进行测试。

资料

Demo地址:5_HybridFlowAuthenticationWithApiAccess

IdentityServer(11)- 使用Hybrid Flow并添加API访问控制的更多相关文章

  1. Identity Server 4 - Hybrid Flow - 保护API资源

    这个系列文章介绍的是Identity Server 4 的 Hybrid Flow, 前两篇文章介绍了如何保护MVC客户端, 本文介绍如何保护API资源. 保护MVC客户端的文章: https://w ...

  2. Identity Server 4 - Hybrid Flow - 使用ABAC保护MVC客户端和API资源

    这个系列文章介绍的是Identity Server 4 实施 OpenID Connect 的 Hybrid Flow. 保护MVC客户端: https://www.cnblogs.com/cgzl/ ...

  3. asp.net core系列 57 IS4 使用混合流(OIDC+OAuth2.0)添加API访问

    一.概述 在上篇中,探讨了交互式用户身份验证,使用的是OIDC协议. 在之前篇中对API访问使用的是OAuth2.0协议.这篇把这两个部分放在一起,OpenID Connect和OAuth 2.0组合 ...

  4. Identity Server 4 - Hybrid Flow - MVC客户端身份验证

    预备知识 可能需要看一点点预备知识 OAuth 2.0 不完全简介: https://www.cnblogs.com/cgzl/p/9221488.html OpenID Connect 不完全简介: ...

  5. IdentityServer4 中文文档 -13- (快速入门)切换到混合流并添加 API 访问

    IdentityServer4 中文文档 -13- (快速入门)切换到混合流并添加 API 访问 原文:http://docs.identityserver.io/en/release/quickst ...

  6. Identity Server 4 - Hybrid Flow - Claims

    前一篇 Identity Server 4 - Hybrid Flow - MVC客户端身份验证: https://www.cnblogs.com/cgzl/p/9253667.html Claims ...

  7. IdentityServer4【QuickStart】之切换到混合流并且添加API访问

    切换到混合流并且添加API访问 前面的示例中我们开发了API访问和用户认证,现在我们要将两个合并到一起. OpenID Connect&OAuth 2.0组合的美妙之处是,你可以使用单一协议和 ...

  8. AspNetCore添加API限流

    最近发现有客户在大量的请求我们的接口,出于性能考虑遂添加了请求频率限制. 由于我们接口请求的是.Net Core写的API网关,所以可以直接添加一个中间件,中间件中使用请求的地址当key,通过配置中心 ...

  9. .net 添加api不能访问的问题

    在一个.netmvc项目中,本身没有提供api后来想添加api就会出现问题.会发生添加的apicontrol不能访问的情况.这种情况一般是因为,global文件中,application_start( ...

随机推荐

  1. Ubuntu SSH root 登录 Permission denied 错误

    问题: $ ssh root@40.125.21.75 root@40.125.21.75's password: Permission denied, please try again. 解决方式, ...

  2. 解决 ASP.NET Core MySql varchar 字符串截取(长度 255)

    ASP.NET Core 中使用 MySql,如果字段类型为varchar,不管设置多少长度,插入或更新数据的时候,会自动截断(截取 255 长度的字符). 出现问题的原因,就是使用了MySql.Da ...

  3. 基于权限安全框架Shiro的登录验证功能实现

    目前在企业级项目里做权限安全方面喜欢使用Apache开源的Shiro框架或者Spring框架的子框架Spring Security. Apache Shiro是一个强大且易用的Java安全框架,执行身 ...

  4. springMVC(3)---利用pdf模板下载

    springMVC(3)---利用pdf模板下载 在实际开发中,很多时候需要通过把数据库中的数据添加到pdf模板中,然后供客户下载,那我们该如何中呢? 本文主要内容是:用java在pdf模板中加入数据 ...

  5. The Movie db (TMDB)的API申请

    在共享API TMDB中申请时,一只报错Application summary please elaborate on how you plan to use our API,我是用汉字描述的,开始以 ...

  6. 探索C++对象模型

    只说C++对象模型在内存中如何分配这是不现实的,所以这里选择VS 2013作为调试环境具体探讨object在内存中分配情况.目录给出了具体要探讨的所有模型,正文分标题依次讨论.水平有限,如有错误之处请 ...

  7. 【Linux】Linux学习笔记(完结)

    前言 在工作中发现Linux系统的重要性,于是计划重温下Linux,顺便记录笔记方便之后查阅. 磁盘分区 在Linux系统中,每个设备都被当成一个文件来对待:如IDE接口的硬盘文件名为/dev/hd[ ...

  8. JDK动态代理[1]----代理模式实现方式的概要介绍

    日常工作中经常会接触到代理模式,但一直没有对其进行深究.代理模式一直就像一团迷雾一样存在我心里,什么是代理模式?为什么要使用代理?代理模式有哪些实现?它的底层机制是怎样的?这些问题促使着我迫切想要揭开 ...

  9. echarts中如何使用timeline组件

    1.吃碗面 这里关于echarts3 官网的示例我不得不吐槽一下,逼格真高!一小部分示例动不动数据就是国家统计局搞出来的,你脸真大.当然他们做的示例的确是很好,这一点毫无疑问.当我看了echarts3 ...

  10. 使用JavaScript将图片保存至本地

    在最近的开发当中,我们需要为img标签以及canvas动态绘制的图像提供下载功能,下面是经过探索后我们得出的结果. 一.Canvas 版本 // 下载Canvas元素的图片 function down ...