写在前面

1、源码(.Net Core 2.2)

  git地址:https://github.com/yizhaoxian/CoreIdentityServer4Demo.git

2、相关章节

  2.1、《IdentityServer4 (1) 客户端授权模式(Client Credentials)
  2.2、《IdentityServer4 (2) 密码授权(Resource Owner Password)
  2.3、《IdentityServer4 (3) 授权码模式(Authorization Code)
  2.4、《IdentityServer4 (4) 静默刷新(Implicit)》
  2.5、《IdentityServer4 (5) 混合模式(Hybrid)》

3、参考资料

  IdentityServer4 中文文档 http://www.identityserver.com.cn/
  IdentityServer4 英文文档 https://identityserver4.readthedocs.io/en/latest/

  OpenID Connect 官网 https://openid.net/connect/
  OpenID Connect 中文 https://www.cnblogs.com/linianhui/p/openid-connect-core.html
  OpenID Connect和OAuth 2.0对比:https://www.jianshu.com/p/d453076e6433

4、流程图

  1、访问客户端受保护的url
  2、跳转到授权服务器认证
  3、用户填写认证(账号密码)
  4、认证成功,选择授权的scope
  5、授权成功(点击同意授权),携带授权码code返回客户端
  6、客户端通过后台通信请求AccessToken 和IdToken,如果设置了 OfflineAccess=true也会返回RefreshToken(可以刷新AccessToken)

  整个访问流程建议使用fiddler 抓包查看,更好的了解

一、服务端

1、下载一个官方示例

  地址:https://github.com/IdentityServer/IdentityServer4.Quickstart.UI

  根据自己使用的Core 版本下载对应的,点击 tags 里找,我下载的是2.5,解压后如下图

  

2、新建一个 web 项目 .NetCore 2.2版本

   把官网下载的文件添加到项目中,Quickstart 我换成了Controllers

3、添加配置类 (IdpConfig.cs)

  参看 《IdentityServer4 (1) 客户端授权模式(Client Credentials)》里的,直接复制过来就可以了

4、添加客户端

  IdpConfig.cs GetClients()

  AllowedScopes 属性设置的值,必须在GetApiResources()  GetApis() 里提前定义好,并且在 StartUp.cs 里已经注册

   new Client{

       ClientId="mvc client", //客户端Id

       ClientName="测试客户端", //客户端名称 随便写

       AllowedGrantTypes=GrantTypes.Code,//验证模式

       ClientSecrets=

       {

           new Secret("mvc secret".Sha256()) //客户端验证密钥

       },

       // 登陆以后 我们重定向的地址(客户端地址),

       // {客户端地址}/signin-oidc是系统默认的不用改,也可以改,这里就用默认的

       RedirectUris = { "http://localhost:5003/signin-oidc" },

       //注销重定向的url

       PostLogoutRedirectUris = { "http://localhost:5003/signout-callback-oidc" },

       //是否允许申请 Refresh Tokens

       //参考地址 https://identityserver4.readthedocs.io/en/latest/topics/refresh_tokens.html

       AllowOfflineAccess=true,

       //将用户claims 写人到IdToken,客户端可以直接访问

       AlwaysIncludeUserClaimsInIdToken=true,

       //客户端访问权限

       AllowedScopes =

       {

           "api1",

           IdentityServerConstants.StandardScopes.OpenId,

           IdentityServerConstants.StandardScopes.Email,

           IdentityServerConstants.StandardScopes.Address,

           IdentityServerConstants.StandardScopes.Phone,

           IdentityServerConstants.StandardScopes.Profile,

           IdentityServerConstants.StandardScopes.OfflineAccess

       }

   }

5、注册相关信息(StartUp.cs)

  ConfigureServices() 注意这里我修改了路径,如果你使用的是 git 下载下来的不需要修改,我这里修改是我把 git 下载的改动了

    services.AddIdentityServer(options =>

    {

        //默认的登陆页面是/account/login

        options.UserInteraction.LoginUrl = "/login";

        //授权确认页面 默认/consent

        //options.UserInteraction.ConsentUrl = "";

    })

    .AddDeveloperSigningCredential()

    .AddInMemoryApiResources(IdpConfig.GetApis())

    .AddInMemoryClients(IdpConfig.GetClients())

    .AddTestUsers(TestUsers.Users)

    .AddInMemoryIdentityResources(IdpConfig.GetApiResources());

  Configure()

   // 要写在 UseMvc()前面

   app.UseIdentityServer();

   app.UseMvcWithDefaultRoute();

二、客户端

1、添加认证相关信息(StartUp.cs)

  ConfigureServices()

   //关闭了 JWT 身份信息类型映射

   //这样就允许 well-known 身份信息(比如,“sub” 和 “idp”)无干扰地流过。

   //这个身份信息类型映射的“清理”必须在调用 AddAuthentication()之前完成

   //区别可参考下面截图

   JwtSecurityTokenHandler.DefaultInboundClaimTypeMap.Clear();

   //添加认证信息

   services.AddAuthentication(options =>

   {

       options.DefaultScheme = CookieAuthenticationDefaults.AuthenticationScheme;

       options.DefaultChallengeScheme = OpenIdConnectDefaults.AuthenticationScheme;

   })

       .AddCookie(CookieAuthenticationDefaults.AuthenticationScheme)

       .AddOpenIdConnect(OpenIdConnectDefaults.AuthenticationScheme, options =>

       {

           options.SignInScheme = CookieAuthenticationDefaults.AuthenticationScheme;

           //认证服务器

           options.Authority = "http://localhost:5002";

           //去掉  https

           options.RequireHttpsMetadata = false;

           options.ClientId = "mvc client";

           options.ClientSecret = "mvc secret";

           //把 token 存储到 cookie

           options.SaveTokens = true;

           options.ResponseType = OpenIdConnectResponseType.Code;

           //添加申请 权限 ,这里的 scope 必须在授权服务端定义的客户端 AllowedScopes 里

           options.Scope.Clear();

           options.Scope.Add("api1");

           options.Scope.Add(OidcConstants.StandardScopes.OpenId);

           options.Scope.Add(OidcConstants.StandardScopes.Email);

           options.Scope.Add(OidcConstants.StandardScopes.Address);

           options.Scope.Add(OidcConstants.StandardScopes.Phone);

           options.Scope.Add(OidcConstants.StandardScopes.Profile);

           options.Scope.Add(OidcConstants.StandardScopes.OfflineAccess);

           options.Events = new OpenIdConnectEvents

           {

               OnAuthenticationFailed = context =>

               {

                   context.HandleResponse();

                   context.Response.WriteAsync("验证失败");

                   return Task.CompletedTask;

               }

           };

       });

  Configure()

   //写在 UseMvc() 前面

   app.UseAuthentication();

   app.UseMvcWithDefaultRoute();

  JwtSecurityTokenHandler.DefaultInboundClaimTypeMap.Clear(); 区别

2、添加测试Controller

    [Authorize]

    public class TestController : Controller

    {

        /// <summary>

        /// 测试从服务端认证

        /// </summary>

        /// <returns></returns>

        public async Task<IActionResult> Private()

        {

            var accessToken = await HttpContext.GetTokenAsync(OpenIdConnectParameterNames.AccessToken);

            var idToken = await HttpContext.GetTokenAsync(OpenIdConnectParameterNames.IdToken);

            var refreshToken = await HttpContext.GetTokenAsync(OpenIdConnectParameterNames.RefreshToken);

            var code = await HttpContext.GetTokenAsync(OpenIdConnectParameterNames.Code);

            var model = new HomeViewModel

            {

                Infos = new Dictionary<string, string>()

                {

                    {"AccessToken", accessToken },

                    {"IdToken", idToken },

                    {"RefreshToken", refreshToken },

                    {"Code", code } //code 是空 因为code 是一次性的

                }

            };

            return View(model);

        }

        /// <summary>

        /// 测试请求API资源(api1)

        /// </summary>

        /// <returns></returns>

        public async Task<IActionResult> SuiBian()

        {

            var accesstoken = await HttpContext.GetTokenAsync(OpenIdConnectParameterNames.AccessToken);

            if (string.IsNullOrEmpty(accesstoken))

            {

                return Json(new { msg = "accesstoken 获取失败" });

            }

            var client = new HttpClient();

            client.SetBearerToken(accesstoken);

            var httpResponse = await client.GetAsync("http://localhost:5001/api/suibian");

            var result = await httpResponse.Content.ReadAsStringAsync();

            if (!httpResponse.IsSuccessStatusCode)

            {

                return Json(new { msg = "请求 api1 失败。", error = result });

            }

            return Json(new

            {

                msg = "成功",

                data = JsonConvert.DeserializeObject(result)

            });

        }

    }

三、API资源

参考上一篇《IdentityServer4 (1) 客户端授权模式》

修改SuiBianController.Get()

   [HttpGet]

   public IActionResult Get()

   {

       return new JsonResult(from c in User.Claims select new { c.Type, c.Value });

   }

四、测试

1、端口说明

  【客户端:5003】【 API :5001 】【 授权认证服务器:5002】,并确认3个端口可以正常访问

  

2、客户端访问

  2.1 、输入地址:http://localhost:5003/test/private 查看是否可正常跳转到授权服务器,   

  

  2.2、正常跳转,输入账号(alice)密码(alice)并登陆。登陆成功,并显示可授权的信息

  

  2.3、点击授权同意,返回相关授权信息,并展示在页面

  

  2.4 、输入地址 http://localhost:5003/test/suibian 访问 API 资源,正确返回

    

IdentityServer4 (3) 授权码模式(Authorization Code)的更多相关文章

  1. 基于OWIN WebAPI 使用OAUTH2授权服务【授权码模式(Authorization Code)】

    之前已经简单实现了OAUTH2的授权码模式(Authorization Code),但是基于JAVA的,今天花了点时间调试了OWIN的实现,基本就把基于OWIN的OAUHT2的四种模式实现完了.官方推 ...

  2. Apache Oltu 实现 OAuth2.0 服务端【授权码模式(Authorization Code)】

    要实现OAuth服务端,就得先理解客户端的调用流程,服务提供商实现可能也有些区别,实现OAuth服务端的方式很多,具体可能看 http://oauth.net/code/ 各语言的实现有(我使用了Ap ...

  3. IdentityServer4系列 | 授权码模式

    一.前言 在上一篇关于简化模式中,通过客户端以浏览器的形式请求IdentityServer服务获取访问令牌,从而请求获取受保护的资源,但由于token携带在url中,安全性方面不能保证.因此,我们可以 ...

  4. OAuth 第三方登录授权码(authorization code)方式的小例子

    假如上面的网站A,可以通过GitHub账号登录: 下面以OAuth其中一种方式,授权码(authorization code)方式为例. 一.第三方登录的原理 所谓第三方登录,实质就是 OAuth 授 ...

  5. OAuth 白话简明教程 2.授权码模式(Authorization Code)

    转自:http://www.cftea.com/c/2016/11/6703.asp OAuth 白话简明教程 1.简述 OAuth 白话简明教程 2.授权码模式(Authorization Code ...

  6. OAuth2.0 授权许可 之 Authorization Code

    写在前面: 在前一篇博客<OAuth2.0 原理简介>中我们已经了解了OAuth2.0的原理以及它是如何工作的,那么本篇我们将来聊一聊OAuth的一种授权许可方式:授权码(Authoriz ...

  7. asp.net权限认证:OWIN实现OAuth 2.0 之授权码模式(Authorization Code)

    asp.net权限认证系列 asp.net权限认证:Forms认证 asp.net权限认证:HTTP基本认证(http basic) asp.net权限认证:Windows认证 asp.net权限认证 ...

  8. IdentityServer4实现OAuth2.0四种模式之授权码模式

    接上一篇:IdentityServer4实现OAuth2.0四种模式之隐藏模式 授权码模式隐藏码模式最大不同是授权码模式不直接返回token,而是先返回一个授权码,然后再根据这个授权码去请求token ...

  9. IdentityServer4系列[6]授权码模式

    授权码模式是一种混合模式,是目前功能最完整.流程最严密的授权模式.它主要分为两大步骤:认证和授权.其流程为: 用户访问客户端,客户端将用户导向Identity Server. 用户填写凭证信息向客户端 ...

随机推荐

  1. Pop!_OS安装与配置(四):GNOME插件篇

    Pop!_OS安装与配置(四):GNOME插件篇 #0x0 效果图 #0x1 自动安装(不保证成功性) #0x2 OpenWeather #0x3 Topicons Plus #0x4 System- ...

  2. MYSQL 之 JDBC(九):增删改查(七)DAO的补充和重构

    DAO重构后的代码 package com.litian.jdbc; import org.apache.commons.beanutils.BeanUtils; import java.sql.*; ...

  3. web前端 javascript 兼容低版本 IE 6 7 8复合写法

    1. 返回检测屏幕宽度(可视区域) function client() { if(window.innerWidth != null) // ie9 + 最新浏览器 { return { width: ...

  4. 3dTiles 数据规范详解[4.1] b3dm瓦片二进制数据文件结构

    B3dm,Batched 3D Model,成批量的三维模型的意思. 倾斜摄影数据(例如osgb).BIM数据(如rvt).传统三维模型(如obj.dae.3dMax制作的模型等),均可创建此类瓦片. ...

  5. 深度剖析分布式单点登录框架XXL-SSO

    于2018年初,在github上创建XXL-SSO项目仓库并提交第一个commit,随之进行系统结构设计,UI选型,交互设计-- 于2018年初,在github上创建XXL-SSO项目仓库并提交第一个 ...

  6. DelayQueue源码分析

    DelayQueue<E>继承于AbstractQueue<E>实现BlockingQueue<E> 内部变量包括ReentrantLock 类型的lock以及条件 ...

  7. js 对象数组根据某个名称删除数组中的对象

    delArrayItem: function (array,item) { const index = array.findIndex(text => text.name === item.na ...

  8. 使用PowerShell自动编译部署前端

    前言 最近在开发一套管理系统,做了前后端分离. 后台使用的是Asp.Net Core 3.1 前端使用的是Vue+Ant Design 自己搞了一台云服务器,打算把系统部署到云服务器上.以供外网访问. ...

  9. java基础知识--数据类型

    计算机时识别不了我们编写的代码语言,计算机中的数据全部采用二进制表示,即0和1表示的数字,每一个0或者1就是一个位,一个位叫做一个bit(比特).(实际上计算机只能识别高低电平,而不是0和1.) 字节 ...

  10. 关于虎信如何绑定二次验证码_虚拟MFA_两步验证_谷歌身份验证器?

    一般点账户名——设置——安全设置中开通虚拟MFA两步验证 具体步骤见链接 虎信如何绑定二次验证码_虚拟MFA_两步验证_谷歌身份验证器? 二次验证码小程序于谷歌身份验证器APP的优势 1.无需下载ap ...