前言

 上一篇文章介绍了IdentityServer4的各种授权模式,本篇继续介绍使用IdentityServer4实现单点登录效果。

单点登录(SSO)

 SSO( Single Sign-On ),中文意即单点登录,单点登录是一种控制多个相关但彼此独立的系统的访问权限,拥有这一权限的用户可以使用单一的ID和密码访问某个或多个系统从而避免使用不同的用户名或密码,或者通过某种配置无缝地登录每个系统。

 概括就是:一次登录,多处访问

案例场景:

 1、提供资源服务(WebApi):订单:Order(cz.Api.Order)、商品:Goods(cz.Api.Goods)……

 2、业务中存在多个系统:门户系统、订单系统、商品系统……

 3、实现用户登录门户后,跳转订单系统、商品系统时,不需要登录认证(单点登录效果)

一、环境准备:

 调整项目如下图结构:

 

在身份认证项目(cz.IdentityServer)中InMemoryConfig中客户端列表中添加以下客户端内容:(其他内容同上一篇设置相同)

new Client

{

    ClientId = "main_client",

    ClientName = "Implicit Client",

    ClientSecrets = new [] { new Secret("secret".Sha256()) },

    AllowedGrantTypes = GrantTypes.Implicit,

    RedirectUris = { "http://localhost:5020/signin-oidc" },

    PostLogoutRedirectUris = { "http://localhost:5020/signout-callback-oidc" },

    //是否显示授权提示界面

    RequireConsent = true,

    AllowedScopes = {

        IdentityServerConstants.StandardScopes.OpenId,

        IdentityServerConstants.StandardScopes.Profile

    }

},

new Client

{

    ClientId = "order_client",

    ClientName = "Order Client",

    ClientSecrets = new [] { new Secret("secret".Sha256()) },

    AllowedGrantTypes = GrantTypes.Code,

    AllowedScopes = {

        "order","goods",

        IdentityServerConstants.StandardScopes.OpenId,

        IdentityServerConstants.StandardScopes.Profile

    },

    RedirectUris = { "http://localhost:5021/signin-oidc" },

    PostLogoutRedirectUris = { "http://localhost:5021/signout-callback-oidc" },

    //是否显示授权提示界面

    RequireConsent = true,

},

new Client

{

    ClientId = "goods_client",

    ClientName = "Goods Client",

    ClientSecrets = new [] { new Secret("secret".Sha256()) },

    AllowedGrantTypes = GrantTypes.Code,

    RedirectUris = { "http://localhost:5022/signin-oidc" },

    PostLogoutRedirectUris = { "http://localhost:5022/signout-callback-oidc" },

    //是否显示授权提示界面

    RequireConsent = true,

    AllowedScopes = {

        "goods",

        IdentityServerConstants.StandardScopes.OpenId,

        IdentityServerConstants.StandardScopes.Profile

    }

}

二、程序实现:

 1、订单、商品Api项目:

  a)订单API项目调整:添加Nuget包引用:

Install-Package IdentityServer4.AccessTokenValidation

  b)调整Statup文件:

public class Startup

{

    public Startup(IConfiguration configuration)

    {

        Configuration = configuration;

    }

    public IConfiguration Configuration { get; }

    // This method gets called by the runtime. Use this method to add services to the container.

    public void ConfigureServices(IServiceCollection services)

    {

        services.AddControllers();

        //IdentityServer

        services.AddMvcCore()

                .AddAuthorization();

        //配置IdentityServer

        services.AddAuthentication("Bearer")

                .AddIdentityServerAuthentication(options =>

                {

                    options.RequireHttpsMetadata = false; //是否需要https

                    options.Authority = $"http://localhost:5600";  //IdentityServer授权路径

                    options.ApiName = "order";  //需要授权的服务名称

                });

    }

    // This method gets called by the runtime. Use this method to configure the HTTP request pipeline.

    public void Configure(IApplicationBuilder app, IWebHostEnvironment env)

    {

        if (env.IsDevelopment())

        {

            app.UseDeveloperExceptionPage();

        }

        app.UseRouting();

        app.UseAuthentication();

        app.UseAuthorization();

        app.UseEndpoints(endpoints =>

        {

            endpoints.MapControllers();

        });

    }

}

  c)添加控制器:OrderController

namespace cz.Api.Order.Controllers

{

   [ApiController]

   [Route("[controller]")]

   [Authorize]    
  public class OrderController : ControllerBase

    {

        private static readonly string[] Summaries = new[]

        {

            "Order1", "Order2", "Order3", "Order4", "Order5", "Order6", "Order7", "Order8", "Order9", "Order10"

        };

        private readonly ILogger<OrderController> _logger;

        public OrderController(ILogger<OrderController> logger)

        {

            _logger = logger;

        }

     //模拟返回数据

        [HttpGet]

        public IEnumerable<WeatherForecast> Get()

        {

            var rng = new Random();

            return Enumerable.Range(1, 5).Select(index => new WeatherForecast

            {

                Date = DateTime.Now.AddDays(index),

                TemperatureC = rng.Next(-20, 55),

                Summary = Summaries[rng.Next(Summaries.Length)]

            })

            .ToArray();

        }

    }

}

  d)商品项目同步调整,调整Api和方法

 2、门户项目:

  添加Nuget引用:

Install-Package IdentityServer4.AccessTokenValidation
Install-Package Microsoft.AspNetCore.Authentication.OpenIdConnect

  a)调整HomeController如下内容:

public class HomeController : Controller

{

    private readonly ILogger<HomeController> _logger;

    public HomeController(ILogger<HomeController> logger)

    {

        _logger = logger;

    }

    [Authorize]

    public IActionResult Index()

    {

        //模拟返回应用列表

        List<AppModel> apps = new List<AppModel>();

        apps.Add(new AppModel() { AppName = "Order Client", Url = "http://localhost:5021" });

        apps.Add(new AppModel() { AppName = "Goods Client", Url = "http://localhost:5022" });

        return View(apps);

    }

    [Authorize]

    public IActionResult Privacy()

    {

        return View();

    }

public IActionResult Logout()

    {

        return SignOut("oidc", "Cookies");

    }

}

  b)调整主页视图: 

@model List<AppModel>

@{

    ViewData["Title"] = "Home Page";

}

<style>

    .box-wrap {

        text-align: center;

        /*        background-color: #d4d4f5;*/

        overflow: hidden;

    }

        .box-wrap > div {

            width: 31%;

            padding-bottom: 31%;

            margin: 1%;

            border-radius: 10%;

            float: left;

            background-color: #36A1DB;

        }

</style>

<div class="text-center">

    <div class="box-wrap">

        @foreach (var item in Model)

        {

            <div class="box">

                <a href="@item.Url" target="_blank">@item.AppName</a>

            </div>

        }

    </div>

</div>

  c)调整Statup文件中ConfigureServices方法:    

public void ConfigureServices(IServiceCollection services)

{

    services.Configure<CookiePolicyOptions>(options =>

    {

        // This lambda determines whether user consent for non-essential cookies is needed for a given request.

        options.CheckConsentNeeded = context => true;

        options.MinimumSameSitePolicy = SameSiteMode.Lax;

    });

    JwtSecurityTokenHandler.DefaultMapInboundClaims = false;

    services.AddControllersWithViews();

    services.AddAuthentication(options =>

    {

        options.DefaultScheme = "Cookies";

        options.DefaultChallengeScheme = "oidc";

    })

    .AddCookie("Cookies")

    .AddOpenIdConnect("oidc", options =>

    {

        options.RequireHttpsMetadata = false;

        options.Authority = "http://localhost:5600";

        options.ClientId = "main_client";

        options.ClientSecret = "secret";

        options.ResponseType = "id_token";

        options.SaveTokens = true;

        options.GetClaimsFromUserInfoEndpoint = true;

        //事件

        options.Events = new Microsoft.AspNetCore.Authentication.OpenIdConnect.OpenIdConnectEvents()

        {

            //远程故障

            OnRemoteFailure = context =>

            {

                context.Response.Redirect("/");

                context.HandleResponse();

                return Task.FromResult(0);

            },

            //访问拒绝

            OnAccessDenied = context =>

            {

                //重定向到指定页面

                context.Response.Redirect("/");

                //停止此请求的所有处理并返回给客户端

                context.HandleResponse();

                return Task.FromResult(0);

            },

        };

    });

}

 3、订单、商品客户端项目:

  添加Nuget引用:

Install-Package IdentityServer4.AccessTokenValidation
Install-Package Microsoft.AspNetCore.Authentication.OpenIdConnect

  a)修改HomeController内容如下:

public class HomeController : Controller

{

    private readonly ILogger<HomeController> _logger;

    public HomeController(ILogger<HomeController> logger)

    {

        _logger = logger;

    }

    [Authorize]

    public IActionResult Index()

    {

        return View();

    }

    public async Task<IActionResult> PrivacyAsync()

    {

        var accessToken = await HttpContext.GetTokenAsync("access_token");

        var client = new HttpClient();

        client.DefaultRequestHeaders.Authorization = new AuthenticationHeaderValue("Bearer", accessToken);

        var content = await client.GetStringAsync("http://localhost:5601/order");

        client.DefaultRequestHeaders.Authorization = new AuthenticationHeaderValue("Bearer", accessToken);

        var contentgoods = await client.GetStringAsync("http://localhost:5602/goods");

        ViewData["Json"] = $"Goods:{contentgoods}\r\n " +

            $"Orders:{content}";

        return View();

    }

    [ResponseCache(Duration = 0, Location = ResponseCacheLocation.None, NoStore = true)]

    public IActionResult Error()

    {

        return View(new ErrorViewModel { RequestId = Activity.Current?.Id ?? HttpContext.TraceIdentifier });

    }

    public IActionResult Logout()

    {

        return SignOut("oidc", "Cookies");

    }

}

  b)调整对应视图内容:



#####Home.cshtml


@{

    ViewData["Title"] = "Home Page";

}

@using Microsoft.AspNetCore.Authentication

<h2>Claims</h2>

<div class="text-center">

    <dl>

        @foreach (var claim in User.Claims)

        {

            <dt>@claim.Type</dt>

            <dd>@claim.Value</dd>

        }

    </dl>

</div>

<div class="text-center">

    <h2>Properties</h2>

    <dl>

        @foreach (var prop in (await Context.AuthenticateAsync()).Properties.Items)

        {

            <dt>@prop.Key</dt>

            <dd>@prop.Value</dd>

        }

    </dl>

</div>

#####Privacy.cshtml


@{
    ViewData["Title"] = "API Result";
}
<h1>@ViewData["Title"]</h1>


<p>@ViewData["Json"]</p>




  c)Statup中设置客户端信息  




public void ConfigureServices(IServiceCollection services)

{

    services.Configure<CookiePolicyOptions>(options =>

    {

        // This lambda determines whether user consent for non-essential cookies is needed for a given request.

        options.CheckConsentNeeded = context => true;

        options.MinimumSameSitePolicy = SameSiteMode.Lax;

    });

    JwtSecurityTokenHandler.DefaultMapInboundClaims = false;

    services.AddControllersWithViews();

    services.AddAuthentication(options =>

    {

        options.DefaultScheme = "Cookies";

        options.DefaultChallengeScheme = "oidc";

    })

    .AddCookie("Cookies")

    .AddOpenIdConnect("oidc", options =>

    {

        options.RequireHttpsMetadata = false;

        options.Authority = "http://localhost:5600";

        options.ClientId = "order_client";

        options.ClientSecret = "secret";

        options.ResponseType = "code";

        options.SaveTokens = true;

        options.Scope.Add("order");

        options.Scope.Add("goods");

        options.GetClaimsFromUserInfoEndpoint = true;

        //事件

        options.Events = new Microsoft.AspNetCore.Authentication.OpenIdConnect.OpenIdConnectEvents()

        {

            //远程故障

            OnRemoteFailure = context =>

            {

                context.Response.Redirect("/");

                context.HandleResponse();

                return Task.FromResult(0);

            },

            //访问拒绝

            OnAccessDenied = context =>

            {

                //重定向到指定页面

                context.Response.Redirect("/");

                //停止此请求的所有处理并返回给客户端

                context.HandleResponse();

                return Task.FromResult(0);

            },

        };

    });

}




 d)商品客户端调整按照以上内容调整类似。


三、演示效果:


   1、设置项目启动如下图:




   2、示例效果:


   


四、总结:


  通过以上操作,整理单点登录流程如下图:


    


  踩坑:当登录取消、授权提示拒绝时,总是跳转错误界面。


    解决办法:客户端定义时,定义事件:对访问拒绝添加处理逻辑。


//事件

options.Events = new Microsoft.AspNetCore.Authentication.OpenIdConnect.OpenIdConnectEvents()

{

  //远程故障

  OnRemoteFailure = context =>

  {

    context.Response.Redirect("/");

    context.HandleResponse();

    return Task.FromResult(0);

  },

  //访问拒绝

  OnAccessDenied = context =>

  {

    //重定向到指定页面

    context.Response.Redirect("/");

    //停止此请求的所有处理并返回给客户端

    context.HandleResponse();

    return Task.FromResult(0);

  },

};


GitHub地址:https://github.com/cwsheng/IdentityServer.Demo.git
												


											
认证授权:IdentityServer4 - 单点登录的更多相关文章
	

    
						
  1. NET Core 2.0使用Cookie认证实现SSO单点登录
		
    NET Core 2.0使用Cookie认证实现SSO单点登录 之前写了一个使用ASP.NET MVC实现SSO登录的Demo,https://github.com/bidianqing/SSO.Sa ...
    
		
    2. 
								
  2. OAuth2.0认证和授权以及单点登录
		
    https://www.cnblogs.com/shizhiyi/p/7754721.html OAuth2.0认证和授权机制讲解 2017-10-30 15:33 by shizhiyi, 2273 ...
    
		
    3. 
						
  3. 阶段5 3.微服务项目【学成在线】_day16 Spring Security Oauth2_02-用户认证技术方案-单点登录
		
    2 用户认证技术方案 2.1 单点登录技术方案 分布式系统要实现单点登录,通常将认证系统独立抽取出来,并且将用户身份信息存储在单独的存储介质,比如: MySQL.Redis,考虑性能要求,通常存储在R ...
    
		
    4. 
						
  4. ASP.NET Core 2.0使用Cookie认证实现SSO单点登录
		
    之前写了一个使用ASP.NET MVC实现SSO登录的Demo,https://github.com/bidianqing/SSO.Sample,这个Demo是基于.NET Framework,.NE ...
    
		
    5. 
						
  5. 单点登录(十八)----cas4.2.x客户端增加权限控制shiro
		
    我们在上面章节已经完成了cas4.2.x登录启用mongodb的验证方式. 单点登录(十三)-----实战-----cas4.2.X登录启用mongodb验证方式完整流程 也完成了获取管理员身份属性  ...
    
		
    6. 
						
  6. Spring Cloud Alibaba 实战(十一) - Spring Cloud认证授权
		
    欢迎关注全是干货的技术公众号:JavaEdge 本文主要内容: 如何实现用户认证与授权? 实现的三种方案,全部是通过画图的方式讲解.以及三种方案的对比 最后根据方案改造Gateway和扩展Feign  ...
    
		
    7. 
						
  7. 029.[转]  SSO单点登录的通用架构实现
		
    单点登录的通用架构实现 pphh发布于2018年4月26日 http://www.hyhblog.cn/2018/04/26/single_sign_on_arch/ 目录 1. 什么是单点登录 2. ...
    
		
    8. 
						
  8. SANGFOR AC配置AD域单点登录(一)----AC侧配置
		
    一.需求 1. AD域单点登录适用于客户内网已有AD域统一管理内网用户,部署AC后,希望AC和AD域结合实现平滑认证.即终端PC开机通过域帐号登录AD域后自动通过AC认证上网,无需再次人为通过AC认证 ...
    
		
    9. 
						
  9. IdentityServer4实现单点登录统一认证
		
    什么是单点登录统一认证:假如某公司旗下有10个网站(比如各种管理网站:人事系统啊,财务系统啊,业绩系统啊等),我是该公司一管理员或者用户,按照传统网站模式是这样:我打开A网站 输入账号密码 然后进入到 ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. 修改linux服务器的时区
			
    cp /usr/share/zoneinfo/Asia/Shanghai /etc/localtime ntpdate 1.asia.pool.ntp.org 如果出现如下错误 21 Jul 01:0 ...
    
			
    2. 
						
  2. java十进制二进制互转
			
    1. 十进制转二进制 原理:给定的数循环除以2,直到商为0或者1为止.将每一步除的结果的余数记录下来,然后反过来就得到相应的二进制了. 比如8转二进制,第一次除以2等于4(余数0),第二次除以2等于2 ...
    
			
    3. 
						
  3. Vue管理系统前端系列三登录页和首页及`vuex`管理登录状态
			
    目录 登录页面设计 vuex 对应 用户模块 丰富界面 首页相关代码 登录页面设计 该节记录了登录界面的设计,以及 vuex 的简单实用,然后将首页简单搭建完成. 先看最终效果图 先在 views 文 ...
    
			
    4. 
						
  4. python 多个装饰器的调用顺序分析
			
    一般情况下,在函数中可以使用一个装饰器,但是有时也会有两个或两个以上的装饰器.多个装饰器装饰的顺序是从里到外(就近原则),而调用的顺序是从外到里(就远原则) 样例: def func1(func):  ...
    
			
    5. 
						
  5. 更好地使用google
			
    精确搜索:双引号 精确搜索就是在你要搜索的词上,加上双引号,这时google就会完全的匹配你所要搜索的字符串 "今日黄瓜" 站内搜索:site 例如我想在stackoverflow ...
    
			
    6. 
						
  6. Http请求的三个常见问题
			
    我们做的大多数项目,必不可少的需要向后台发送请求获取数据,常用的http请求就是post请求和get请求 那么引出一个最常见的问题——Q:post请求和get请求有什么区别? A: 从语义上我们可以这 ...
    
			
    7. 
						
  7. CentOS7系统使用rpm方式安装MySQL5.7
			
    参考:https://blog.csdn.net/wudinaniya/article/details/81094578 1.首先去mysql官网下载rpm包,一个是server包一个是client包 ...
    
			
    8. 
						
  8. 利用OpenCV进行H264视频编码的简易方式
			
    在Python下,利用pip安装预编译的opencv库,并实现h264格式的视频编码. 1. 安装OpenCV $ pip install opencv-python 建议在python虚拟环境下安装 ...
    
			
    9. 
						
  9. JS开发必须知道的41个技巧
			
    JS是前端的核心,但有些使用技巧你还不一定知道:本文梳理了JS的41个技巧,帮助大家提高JS的使用技巧: Array 1.数组交集 普通数组 const arr1 = [, , , , , ,],ar ...
    
			
    10. 
						
  10. 备份etc下的内容
			
    echo "start backup..."sleep 3cp -av /etc/ /data/etc`date +%F`/echo "end backup"~ ...
    
			
    11.