本文中的IdentityServer4基于上节的jenkins 进行docker自动化部署。

使用了MariaDB,EF Core,AspNetIdentity,Docker

Demo地址:https://sso.neverc.cn

Demo源码:https://github.com/NeverCL/Geek.IdentityServer4

简介

OpenID Connect :常用的认证协议有SAML2p, WS-Federation and OpenID Connect – SAML2p。OpenID Connect是其中最新的协议。

OAuth 2.0 :OAuth 2.0 是一种授权协议。通过Access Token可以访问受保护的API接口。

OpenID Connect和OAuth 2.0非常相似,实际上,OpenID Connect是OAuth 2.0之上的一个扩展。

身份认证和API访问这两个基本的安全问题被合并为一个协议 - 往往只需一次往返安全令牌服务。

IdentityServer4基于ASP.NET Core 2对这两种协议的实现。

支持规范:https://identityserver4.readthedocs.io/en/release/intro/specs.html

关键词

IdentityServer:提供OpenID Connect and OAuth 2.0 protocols.

User:IdentityServer中的用户

Client:第三方应用,包括web applications, native mobile or desktop applications, SPAs etc.

Resource:包含Identity data 和 APIs。这是认证授权中的标识。

Identity Token:标识认证信息,至少包含user的sub claim。

Access Token:标识授权信息,可以包含Client 和 user的claim信息。

授权方式

Client Credentials

Client Credentials是最简单的一种授权方式。

步骤:

  1. 创建IdentityServer

    1. 定义APIs
    2. 定义Client
  2. 创建API
    1. 定义Authentication
  3. 使用Client
    1. 请求Token
    2. 使用Token

IdentityServer:

dotnet new web -o Geek.IdentityServer4 && dotnet add Geek.IdentityServer4 package IdentityServer4

Startup:

services.AddIdentityServer()

    .AddDeveloperSigningCredential()

    .AddInMemoryApiResources(Config.GetApiResources())

    .AddInMemoryClients(Config.GetClients());

...

app.UseIdentityServer();

Config:

public static IEnumerable<ApiResource> GetApiResources()

{

    return new List<ApiResource>

    {

        new ApiResource("api1")

    };

}

public static IEnumerable<Client> GetClients()

{

    return new List<Client>

    {

        new Client

        {

            ClientId = "client",

            AllowedGrantTypes = GrantTypes.ClientCredentials,

            ClientSecrets = { new Secret("secret".Sha256()) },

            Claims = { new Claim("name","名称") },

            AllowedScopes = { "api1" }

        },

    }

}

API:

dotnet new web -o Geek.Api && dotnet add Geek.Api package IdentityServer4.AccessTokenValidation

Startup:

services.AddMvc();

services.AddAuthentication("Bearer")//AddIdentityServerAuthentication 默认SchemeName:Bearer

    .AddIdentityServerAuthentication(opt =>

    {

        opt.ApiName = "api1";

        opt.Authority = "https://sso.neverc.cn";

    });

...

app.UseAuthentication();

app.UseMvc();

Controller:

[Route("identity")]

[Authorize]

public class IdentityController : ControllerBase

{

    [HttpGet]

    public IActionResult Get()

    {

        return new JsonResult(from c in User.Claims select new { c.Type, c.Value });

    }

}

Client:

dotnet new web -o Geek.Client && dotnet add Geek.Client package IdentityServer4.IdentityModel

Program:

var disco = await DiscoveryClient.GetAsync("https://sso.neverc.cn");

var tokenClient = new TokenClient(disco.TokenEndpoint, "client", "secret");

var tokenResponse = await tokenClient.RequestClientCredentialsAsync("api1");

var client = new HttpClient();

client.SetBearerToken(tokenResponse.AccessToken);

var response = await client.GetAsync("http://localhost:5001/identity");

var content = await response.Content.ReadAsStringAsync();

Console.WriteLine(JArray.Parse(content));

ResourceOwnerPassword

这种认证方式需要User提供用户名和密码,所以Client为非常可信的应用才可能使用这种方式。

步骤:

  1. 定义RO Client 和 User
  2. 使用Client

Identity Server

Config:

public static IEnumerable<Client> GetClients()

{

    ...

    new Client

    {

        ClientId = "ro.client",

        AllowedGrantTypes = GrantTypes.ResourceOwnerPassword,

        ClientSecrets = { new Secret("secret".Sha256()) },

        AllowedScopes = { "api1" }

    }

}

public static List<TestUser> GetUsers()

{

    return new List<TestUser>

    {

        new TestUser

        {

            SubjectId = "1",

            Username = "alice",

            Password = "password",

        }

    }

}

Startup:

services.AddIdentityServer()

    .AddDeveloperSigningCredential()

    .AddInMemoryApiResources(Config.GetApiResources())

    .AddInMemoryClients(Config.GetClients())

    .AddTestUsers(Config.GetUsers());

Client

var disco = await DiscoveryClient.GetAsync("https://sso.neverc.cn");

var tokenClient = new TokenClient(disco.TokenEndpoint, "ro.client", "secret");

var tokenResponse = await tokenClient.RequestResourceOwnerPasswordAsync("alice", "password", "api1");

var client = new HttpClient();

client.SetBearerToken(tokenResponse.AccessToken);

var response = await client.GetAsync("http://localhost:5001/identity");

var content = await response.Content.ReadAsStringAsync();

Console.WriteLine(JArray.Parse(content));

区分Client Credentials 和 ResourceOwnerPassword 可通过 sub claim来区分

Implicit

Implicit为隐式模式,通过浏览器端直接传输id_token

步骤:

  1. 配置IdentityServer

    1. 定义IdentityResources
    2. 定义mvc client
    3. 添加Mvc UI
  2. 创建mvc client

IdentityServer

public static IEnumerable<IdentityResource> GetIdentityResources()

{

    return new List<IdentityResource>

    {

        new IdentityResources.OpenId(),

        new IdentityResources.Profile()

    };

}

...

new Client

{

    ClientId = "mvc",

    ClientName = "MVC Client",

    AllowedGrantTypes = GrantTypes.Implicit,

    ClientSecrets = { new Secret("secret".Sha256()) },

    RedirectUris = { "http://localhost:5002/signin-oidc" },

    PostLogoutRedirectUris = { "http://localhost:5002/signout-callback-oidc" },

    AllowedScopes = new List<string>

    {

        IdentityServerConstants.StandardScopes.OpenId,

        IdentityServerConstants.StandardScopes.Profile,

    }

}


services.AddIdentityServer()

    .AddDeveloperSigningCredential()

    .AddInMemoryApiResources(Config.GetApiResources())

    .AddInMemoryClients(Config.GetClients())

    .AddTestUsers(Config.GetUsers())

    .AddInMemoryIdentityResources(Config.GetIdentityResources());

添加MvcUI:

在IdentityServer项目中powershell执行:

iex ((New-Object System.Net.WebClient).DownloadString('https://raw.githubusercontent.com/IdentityServer/IdentityServer4.Quickstart.UI/release/get.ps1'))

MvcClient

public void ConfigureServices(IServiceCollection services)

{

    JwtSecurityTokenHandler.DefaultInboundClaimTypeMap.Clear();

    services.AddMvc();

    services.AddAuthentication(options =>

    {

        options.DefaultScheme = "Cookies";

        options.DefaultChallengeScheme = "oidc";

    })

    .AddCookie("Cookies")

    .AddOpenIdConnect("oidc", options =>

    {

        options.SignInScheme = "Cookies";

        options.Authority = "https://sso.neverc.cn";

        options.ClientId = "mvc";

        options.SaveTokens = true;

    });

}

public void Configure(IApplicationBuilder app, IHostingEnvironment env)

{

    app.UseAuthentication();

    app.UseMvcWithDefaultRoute();

}


public class HomeController : ControllerBase

{

    [Authorize]

    public ActionResult Index()

    {

        return new JsonResult(from c in User.Claims select new { c.Type, c.Value });

    }

}

Hybrid

在Implicit方式中,id_token在浏览器中传输是适用的,但是access_token不应该暴露在浏览器中。

Hybrid模式则是在Implicit的基础上,再传输code,适用code模式来获取access_token。

步骤:

  1. 定义Client
  2. 使用Client

IdentityServer配置

Config:

new Client

{

    ClientId = "hybrid",

    AllowedGrantTypes = GrantTypes.Hybrid,

    ClientSecrets = { new Secret("secret".Sha256()) },

    RedirectUris           = { "http://localhost:5002/signin-oidc" },

    PostLogoutRedirectUris = { "http://localhost:5002/signout-callback-oidc" },

    AllowedScopes = {

        IdentityServerConstants.StandardScopes.OpenId,

        IdentityServerConstants.StandardScopes.Profile,

        "api1"

    },

};

MvcClient配置

Startup:

.AddOpenIdConnect("oidc", options =>

{

    options.SignInScheme = "Cookies";

    options.Authority = "https://sso.neverc.cn";

    options.ClientId = "mvc";

    options.ClientSecret = "secret";

    options.ResponseType = "code id_token";

    options.SaveTokens = true;

    options.Scope.Add("api1");

});

Controller:

public async Task<IActionResult> CallApiUsingUserAccessToken()

{

    var accessToken = await HttpContext.GetTokenAsync("access_token");

    var client = new HttpClient();

    client.SetBearerToken(accessToken);

    var content = await client.GetStringAsync("http://localhost:5001/identity");

    ViewBag.Json = JArray.Parse(content).ToString();

    return View("json");

}

在登录完成后,即可通过认证得到的access_token调用CallApiUsingUserAccessToken来调用API服务。

总结

本文为IdentityServer4做了基本的介绍。

实际上IdentityServer4还可以非常灵活的与ASP.NET Identity 以及 EF Core等组合使用。

另外基于ASP.NET Core,所以IdentityServer4也支持跨平台。

【.NET Core】ASP.NET Core之IdentityServer4(1):快速入门的更多相关文章

  1. .NET Core & ASP.NET Core 1.0在Redhat峰会上正式发布

    众所周知,Red Hat和微软正在努力使.NET Core成为Red Hat企业版Linux (RHEL)系统上的一流开发平台选项.这个团队已经一起工作好几个月了,RHEL对.NET有许多需求.今天在 ...

  2. .NET Core & ASP.NET Core 1.0

    .NET Core & ASP.NET Core 1.0在Redhat峰会上正式发布 众所周知,Red Hat和微软正在努力使.NET Core成为Red Hat企业版Linux (RHEL) ...

  3. Do You Kown Asp.Net Core -- Asp.Net Core 2.0 未来web开发新趋势 Razor Page

    Razor Page介绍 前言 上周期待已久的Asp.Net Core 2.0提前发布了,一下子Net圈热闹了起来,2.0带来了很多新的特性和新的功能,其中Razor Page引起我的关注,作为web ...

  4. ASP.NET Core 配置 Entity Framework Core - ASP.NET Core 基础教程 - 简单教程,简单编程

    原文:ASP.NET Core 配置 Entity Framework Core - ASP.NET Core 基础教程 - 简单教程,简单编程 ASP.NET Core 配置 Entity Fram ...

  5. .NET Core ASP.NET Core Basic 1-2 控制反转与依赖注入

    .NET Core ASP.NET Core Basic 1-2 本节内容为控制反转与依赖注入 简介 控制反转IOC 这个内容事实上在我们的C#高级篇就已经有所讲解,控制反转是一种设计模式,你可以这样 ...

  6. [.NET Core]ASP.NET Core中如何解决接收表单时的不支持的媒体类型(HTTP 415 Unsupported Media Type)错误呢?

    [.NET Core]ASP.NET Core中如何解决接收表单时的不支持的媒体类型(HTTP 415 Unsupported Media Type)错误呢? 在ASP.NET Core应用程序中,接 ...

  7. 使用ASP.NET 构建 Web 应用程序快速入门-8小时的免费培训视频

    - Scott Hanselman的中文博客[转载] [原文发表地址] Building Web Apps with ASP.NET Jump Start - 8 Hours of FREE Trai ...

  8. [译]初识.NET Core & ASP.NET Core

    原文:点这 本文的源代码在此: ASP.NET From Scratch Sample on GitHub 你过你是.NET Core的入门者,你可以先看看下面这篇文章: ASP.NET and .N ...

  9. ASP.NET Core - ASP.NET Core MVC 的功能划分

    概述 大型 Web 应用比小型 Web 应用需要更好的组织.在大型应用中,ASP.NET MVC(和 Core MVC)所用的默认组织结构开始成为你的负累.你可以使用两种简单的技术来更新组织方法并及时 ...

  10. 比较ASP.NET和ASP.NET Core[经典 Asp.Net v和 Asp.Net Core (Asp.Net Core MVC)]

    ASP.NET Core是.与.Net Core FrameWork一起发布的ASP.NET 新版本,最初被称为ASP.NET vNext,有一系列的命名变化,ASP.NET 5.0,ASP.NET ...

随机推荐

  1. JSP标签JSTL的使用(1)--表达式操作

    单纯的使用jsp脚本来进行逻辑处理,显得代码很是杂乱.为了更加简洁也为了便于代码的阅读,于是JSTL应运而生. 库文件下载地址: 我自己上传的一份压缩文件,里面包含了所有需要的jar包,而且不需要积分 ...

  2. cocos2dx 3.3 + QT5.3制作游戏编辑器

    欢迎转载,但请注明本blog地址,谢谢_(:зゝ∠)_ http://www.cnblogs.com/marisa/p/4141862.html 主要参考: http://blog.csdn.net/ ...

  3. Unity 简易的UI背景昼夜轮替效果

    在UI背景上实现一个简易的有光影照射的昼夜轮替效果,往往比一个死板的UI背景看起来更加形象生动,比较传统的方式是多图轮流替换的序列帧动画,不过要达到整个UI背景大图的所有地方都产生光影效果,那么务必每 ...

  4. Linux的sort命令

     Linux的sort命令 Linux的sort命令就是一种对文件排序的工具,sort命令的功能十分强大,是Shell脚本编程时常使用的文件排序工具. sort命令将输入文件看做由多条记录组成的数据流 ...

  5. Android实现自定义的相机

    使用系统相机 android中使用系统相机是很方便的,单这仅仅是简单的使用而已,并不能获得什么特殊的效果. 要想让应用有相机的action,咱们就必须在清单文件中做一些声明,好让系统知道,如下 < ...

  6. 谈谈Ext JS组件之引子

    Ext JS组件,对于Ext JS开发人员来说,应当不会陌生,毕竟做开发,都必须与它打交道.对于这样一个大家都熟悉的东西,为什么要用一个专题的形式来写呢?是否有这方面的需要?还不如去写点使用技巧? 确 ...

  7. libcoro:在c++中支持coroutine

    起因 在第一个版本的libtnet开发完成之后,我一直在思考如何让异步方式的网络编程更加简单. 虽然libtnet通过c++ shared_ptr以及function等技术很大程度上面解决了异步代码编 ...

  8. 【一天一道LeetCode】#59. Spiral Matrix II

    一天一道LeetCode系列 (一)题目 Given an integer n, generate a square matrix filled with elements from 1 to n2 ...

  9. October 23, 2013 - Fires and smoke in eastern China

    October 23, 2013 - Fires and smoke in eastern China Satellite: Aqua Date Acquired: 10/12/2013 Resolu ...

  10. 使用MTL库求解最小二乘解

    最小二乘计算最优解不管是哪个行业肯定都用到的非常多.对于遥感图像处理中,尤其是对图像进行校正处理,关于控制点的几种校正模型中,都用到最小二乘来计算模型的系数.比如几何多项式,或者通过GCP求解RPC系 ...