IdentityServer4客户端如何获取自定义声明，了解一下？

前言

久违了各位，之前录制过IdentityServer4的基础视频（https://space.bilibili.com/319652230/#/），有兴趣了解的童鞋可以看一下，只不过未发表成博客。我们使用IdentityServer4结和ASP.NET Identity来进行用户的认证和授权管理，在实际项目中我们都会继承ASP.NET Core Identity中IdentityUser类即用户实体，并添加我们自定义的扩展属性，在客户端（Clients）中我们只能拿到用户Id，但是若我们要获取用户中其他重要的属性，此时相对于IdentityServer4而言则需要自定义声明，那么在IdentityServer4中如何添加自定义声明并在客户端中能正确获取到呢？本文详细讲解一下，对于IdentityServer4我也是初学者，仅仅止于知道和使用而已，若有错误的地方，还请大佬指正。

IdentityServer4添加自定义声明（方式一）

首先我们继承自IdentityUser类并添加额外的属性比如部门Id，如下：

    public class OnLineBookIdentityUser : IdentityUser
    {
        public string DepartmentId { get; set; }
    }

接下来我们需要将部门Id通过IdentityServer4添加到声明中，在IdentityServer4中添加自定义声明我们需要实现IProfileService接口，该接口有如下两个方法。

我们实现上述两个方法，在第一个方法中参数也就是用户基本信息上下文中拿到用户Id即Subject，然后我们定义用户中的部门Id属性为idr，并将用户中的部门Id属性映射到声明的idr中，最终实现如下：

    public class ProfileService : IProfileService
    {
        protected UserManager<OnLineBookIdentityUser> _userManager;

        public ProfileService(UserManager<OnLineBookIdentityUser> userManager)
        {
            _userManager = userManager;
        }

        public Task GetProfileDataAsync(ProfileDataRequestContext context)
        {
            var user = _userManager.GetUserAsync(context.Subject).Result;

            var claims = new List<Claim>
            {
                new Claim("idr", user.DepartmentId),
            };

            context.IssuedClaims.AddRange(claims);
            return Task.FromResult();
        }

        public Task IsActiveAsync(IsActiveContext context)
        {
            var user = _userManager.GetUserAsync(context.Subject).Result;
            context.IsActive = true;
            return Task.FromResult();
        }
    }

接下来在注入IdentityServer4时，添加我们自定义实现的ProfileService，更多基础请参考IdentityServer4官网以及我所录制的IdentityServer4基础视频。

            //注入IdentityServer4使用AspNetIdentity
            services.AddIdentityServer(options =>
                 {
                     options.Authentication.CookieLifetime = TimeSpan.FromMinutes();
                 })
                .AddDeveloperSigningCredential()
                .AddAspNetIdentity<OnLineBookIdentityUser>()
                ....
                .AddProfileService<ProfileService>();

晓晨姐姐在他发表的博客文章（http://www.cnblogs.com/stulzq/p/8726002.html）中说必须还要实现IResourceOwnerPasswordValidator接口，那么在客户端获取到自定义声明应该是通过调用接口的方式获取用户自定义声明（不知是否理解正确或者说通过客户端中User中Principal获取到呢？）这里我们并未实现上述IResourceOwnerPasswordValidator接口，我们看看在客户端是否能拿到上述我们声明的idr呢？在客户端我们定义如下控制器，访问需要进行授权，并获取我们添加的自定义声明idr，如下：

    [Route("[controller]"), Authorize]
    public class OrderController : Controller
    {
        private readonly IOrderService _orderService;
        public OrderController(IOrderService orderService)
        {
            _orderService = orderService;
        }

        [HttpGet("index")]
        public IActionResult Index()
        {
            var idr = User.FindFirst("idr")?.Value;
            return View(nameof(Index), idr);
        }
    }

并在上述index视图中我们答应自定义声明idr所对应的部门的值，如下：

@model string
@if (Model is null)
{

    <h1>idr is null</h1>
}
else
{
    <h1>@Model.ToString()</h1>
}

接下来我们通过动态gif来演示下，注意如下视频http://localhost:5000/为IdentityServer4认证、授权服务器端。而http://localhost:5003/为客户端。

上述我们可以看到在登录之后重定向到客户端，我们拿到ack即AccessToken里面有自定义声明idr，但是当我们访问Order/Index并未获取到idr，这是为何，这是因为我们通过如下即ClaimPrincipal去获取idr时，实际上是获取的id_token里面的用户信息，而不是AccessToken，而id_token我们看到没有idr，所以才出现没有获取到的情况。

 var idr = User.FindFirst("idr")?.Value;

为了解决这个问题，我们可以在通过IdentityServer4创建的Clients表中所对应的调用客户端中的如下列设置为True即可。

接下来我们再来演示一下，此时我们将看到解析通过id_token将返回idr，并能在客户端读取到idr。

IdentityServer4添加自定义声明（方式二）

除了上述方式通过实现ProfileService接口外，我们还可以通过实现自定义UserClaimsPrincipalFactory工厂类来实现，复写CreateAsync方法来创建自定义声明如下：

    public class CustomizeUserClaimsFactory<TRole> : UserClaimsPrincipalFactory<OnLineBookIdentityUser, TRole>
        where TRole : class
    {
        public CustomizeUserClaimsFactory(UserManager<OnLineBookIdentityUser> userManager, RoleManager<TRole> roleManager, IOptions<IdentityOptions> optionsAccessor)
            : base(userManager, roleManager, optionsAccessor)
        {
        }

        public async override Task<ClaimsPrincipal> CreateAsync(OnLineBookIdentityUser user)
        {
            var cliamsPrincipal = await base.CreateAsync(user);
            var identity = cliamsPrincipal.Identities.First();

            if (!identity.HasClaim(x => x.Type == "idr"))
            {
                identity.AddClaim(new Claim("idr", user.DepartmentId));
            }

            return cliamsPrincipal;
        }
    }

然后通过创建扩展方法将上述自定义用户声明工厂进行注入，如下：

        public static IdentityBuilder AddCustomizeUserClaimsPrincipalFactory(this IdentityBuilder builder)
        {
            var interfaceType = typeof(IUserClaimsPrincipalFactory<>);
            interfaceType = interfaceType.MakeGenericType(builder.UserType);

            var classType = typeof(CustomizeUserClaimsFactory<>);
            classType = classType.MakeGenericType(builder.RoleType);

            builder.Services.AddScoped(interfaceType, classType);

            return builder;
        }

最后在注入Identity时，添加上述自定义声明工厂，如下：

  services.AddIdentity<OnLineBookIdentityUser, IdentityRole>()
            .AddEntityFrameworkStores<OnLineBookDbContext>()
            .AddDefaultTokenProviders()
            .AddCustomizeUserClaimsPrincipalFactory();

总结

本节内容需要有一定IdentityServer4基础，如若不太了解请参考官方文档，同时针对如上在客户端如何获取自定义声明，重点在于在对应客户端表中设置AlwaysIncludeInIdToken为True才好使，并未去深究设置该列为True所产生的副作用，感谢阅读，若有不同见解，望留下您的评论。