IdentityServer4 实现OAuth2.0四种模式之密码模式
接上一篇:IdentityServer4 实现OAuth2.0四种模式之客户端模式,这一篇讲IdentityServer4 使用密码模式保护API访问。
一,IdentityServer配置
1,添加用户
要用到用户名称密码当然得添加用户,在IdentityServer项目的Config类中的新增一个方法,GetUsers。返回一个TestUser的集合。
public static List<TestUser> GetUsers() {
return new List<TestUser>()
{
new TestUser()
{
//用户名
Username="apiUser",
//密码
Password="apiUserPassword",
//用户Id
SubjectId="0"
}
};
}
添加好用户还需要要将用户注册到IdentityServer4,修改IdentityServer项目的Startup类ConfigureServices方法
public void ConfigureServices(IServiceCollection services)
{
services.AddMvc();
//添加IdentityServer
var builder = services.AddIdentityServer()
//身份信息授权资源
.AddInMemoryIdentityResources(Config.GetIdentityResources())
//API访问授权资源
.AddInMemoryApiResources(Config.GetApis())
//客户端
.AddInMemoryClients(Config.GetClients())
//添加用户
.AddTestUsers(Config.GetUsers());
if (Environment.IsDevelopment())
{
builder.AddDeveloperSigningCredential();
}
else
{
throw new Exception("need to configure key material");
}
}
2,添加客户端
添加一个客户端用于用户名和密码模式的访问。客户端(Client)定义里有一个AllowedGrantTypes的属性,这个属性决定了Client可以被那种模式被访问,GrantTypes.ClientCredentials为客户端凭证模式,GrantTypes.ResourceOwnerPassword为用户名密码模式。上一节添加的Client是客户端凭证模式,所以还需要添加一个Client用于支持用户名密码模式。
public static IEnumerable<Client> GetClients()
{
return new Client[] { new Client()
{
//客户端Id
ClientId="apiClientCd",
//客户端密码
ClientSecrets={new Secret("apiSecret".Sha256()) },
//客户端授权类型,ClientCredentials:客户端凭证方式
AllowedGrantTypes=GrantTypes.ClientCredentials,
//允许访问的资源
AllowedScopes={
"secretapi"
}
},
new Client()
{
//客户端Id
ClientId="apiClientPassword",
//客户端密码
ClientSecrets={new Secret("apiSecret".Sha256()) },
//客户端授权类型,ClientCredentials:客户端凭证方式
AllowedGrantTypes=GrantTypes.ResourceOwnerPassword,
//允许访问的资源
AllowedScopes={
"secretapi"
}
} };
}
二,保用密码模式访问受保护的Api
1,使用IdentityMvc项目访问受保护的Api
修改GetData控制器,使其支持密码模式访问
public async Task<IActionResult> GetData(string type)
{
type = type ?? "client";
var client = new HttpClient();
var disco = await client.GetDiscoveryDocumentAsync("http://localhost:5000");
if (disco.IsError)
return new JsonResult(new { err=disco.Error});
TokenResponse token = null;
switch (type)
{
case "client":
token = await client.RequestClientCredentialsTokenAsync(new ClientCredentialsTokenRequest()
{
//获取Token的地址
Address = disco.TokenEndpoint,
//客户端Id
ClientId = "apiClientCd",
//客户端密码
ClientSecret = "apiSecret",
//要访问的api资源
Scope = "secretapi"
});
break;
case "password":
token = await client.RequestPasswordTokenAsync(new PasswordTokenRequest()
{
//获取Token的地址
Address = disco.TokenEndpoint,
//客户端Id
ClientId = "apiClientPassword",
//客户端密码
ClientSecret = "apiSecret",
//要访问的api资源
Scope = "secretapi",
UserName = "apiUser",
Password = "apiUserPassword"
});
break;
}
if (token.IsError)
return new JsonResult(new { err = token.Error });
client.SetBearerToken(token.AccessToken);
string data = await client.GetStringAsync("https://localhost:5001/api/identity");
JArray json = JArray.Parse(data);
return new JsonResult(json);
}
运行三个项目后访问:https://localhost:5002/home/getdata?type=password
2,使用原生HTTP请求访问受保护的Api
获取access_token
获取到Token后,访问受保护的API和通过客户端模式一样。
三,密码模式与客户端凭证模式的区别
到目前为止,昨们还没有搞清这两个模式有什么区别,如果仅仅是为了能访问这个API,那加不加用户名和密码有什么区别呢。昨们对比下这两种模式取得Token后访问api返回的数据,可以发现用户名密码模式返回的Claim的数量要多一些。Claim是什么呢,简尔言之,是请求方附带在Token中的一些信息。但客户端模式不涉及到用户信息,所以返回的Claim数量会少一些。在IdentityServer4中,TestUser有一个Claims属性,允许自已添加Claim,有一个ClaimTypes枚举列出了可以直接添加的Claim。添加一个ClaimTypes.Role试试。
IdentityServer.Config.GetUsers
public static List<TestUser> GetUsers() {
return new List<TestUser>()
{
new TestUser()
{
//用户名
Username="apiUser",
//密码
Password="apiUserPassword",
//用户Id
SubjectId="0",
Claims=new List<Claim>(){
new Claim(ClaimTypes.Role,"admin")
}
}
};
}
这时如果启动两个项目,采用用户密码和密码模式获取Token访问Api,返回的值依然是没有role:admin的Claim的。这时又要用到ApiResouce,ApiResouce的构造函数有一个重载支持传进一个Claim集合,用于允许该Api资源可以携带那些Claim。
IdentityServer.Config.GetApis
public static IEnumerable<ApiResource> GetApis()
{
return new ApiResource[] {
//secretapi:标识名称,Secret Api:显示名称,可以自定义
new ApiResource("secretapi","Secret Api",new List<string>(){ ClaimTypes.Role})
};
}
现在可以启动项目测试一下,可以发现已经可以返回role这个claim了。
Role(角色)这个Claim很有用,可以用来做简单的权限管理。
首先修改下被保护Api的,使其支持Role验证
IdentityApi.Controllers.IdentityController.GetUserClaims
[HttpGet]
[Route("api/identity")]
[Microsoft.AspNetCore.Authorization.Authorize(Roles ="admin")]
public object GetUserClaims()
{
return User.Claims.Select(r => new { r.Type, r.Value });
}
然后在IdentityServer端添加一个来宾角色用户
IdentityServer.Config.GetUsers
public static List<TestUser> GetUsers() {
return new List<TestUser>()
{
new TestUser()
{
//用户名
Username="apiUser",
//密码
Password="apiUserPassword",
//用户Id
SubjectId="0",
Claims=new List<Claim>(){
new Claim(ClaimTypes.Role,"admin")
}
},
new TestUser()
{
//用户名
Username="apiUserGuest",
//密码
Password="apiUserPassword",
//用户Id
SubjectId="1",
Claims=new List<Claim>(){
new Claim(ClaimTypes.Role,"guest")
}
}
};
}
再回到IdentityMvc项目,修改下获取数据的测试接口GetData,把用户名和密码参数化,方便调试
IdentityMvc.HomeContoller.GetData
public async Task<IActionResult> GetData(string type,string userName,string password)
{
type = type ?? "client";
var client = new HttpClient();
var disco = await client.GetDiscoveryDocumentAsync("http://localhost:5000");
if (disco.IsError)
return new JsonResult(new { err=disco.Error});
TokenResponse token = null;
switch (type)
{
case "client":
token = await client.RequestClientCredentialsTokenAsync(new ClientCredentialsTokenRequest()
{
//获取Token的地址
Address = disco.TokenEndpoint,
//客户端Id
ClientId = "apiClientCd",
//客户端密码
ClientSecret = "apiSecret",
//要访问的api资源
Scope = "secretapi"
});
break;
case "password":
token = await client.RequestPasswordTokenAsync(new PasswordTokenRequest()
{
//获取Token的地址
Address = disco.TokenEndpoint,
//客户端Id
ClientId = "apiClientPassword",
//客户端密码
ClientSecret = "apiSecret",
//要访问的api资源
Scope = "secretapi",
UserName =userName,
Password = password
});
break;
}
if (token.IsError)
return new JsonResult(new { err = token.Error });
client.SetBearerToken(token.AccessToken);
string data = await client.GetStringAsync("https://localhost:5001/api/identity");
JArray json = JArray.Parse(data);
return new JsonResult(json);
}
分别用apiUser和apiUserGuest访问,用apiUserGuest访问时请求被拒绝
https://localhost:5002/home/getdata?type=password&userName=apiUserGuest&password=apiUserPassword
上边是添加ClaimTypes枚举里定义好的Claim,但如果要定义的Claim不在Claim枚举里应该怎么办呢,比如我想所有用户都有一个项目编号,要添加一个名为prog的Claim。
先在ApiResouce里允许携带名为prog.Claim
IdentityServer.Config.GetApis
public static IEnumerable<ApiResource> GetApis()
{
return new ApiResource[] {
//secretapi:标识名称,Secret Api:显示名称,可以自定义
new ApiResource("secretapi","Secret Api",new List<string>(){ ClaimTypes.Role,ClaimTypes.Name,"prog"})
};
}
在用户定义的Claims属性里添加prog信息
IdentityServer.Config.GetUsers
public static List<TestUser> GetUsers() {
return new List<TestUser>()
{
new TestUser()
{
//用户名
Username="apiUser",
//密码
Password="apiUserPassword",
//用户Id
SubjectId="0",
Claims=new List<Claim>(){
new Claim(ClaimTypes.Role,"admin"),
new Claim("prog","正式项目"),
}
},
new TestUser()
{
//用户名
Username="apiUserGuest",
//密码
Password="apiUserPassword",
//用户Id
SubjectId="1",
Claims=new List<Claim>(){
new Claim(ClaimTypes.Role,"guest"),
new Claim("prog","测试项目"),
}
}
};
}
使用apiUser访问
https://localhost:5002/home/getdata?type=password&userName=apiUser&password=apiUserPassword
密码模式需要知道用户的密码,那能不能用户自己从identityServer登录,不把密码给到第三方呢?,下一篇讲的隐藏模式就解决了这个问题。
IdentityServer4 实现OAuth2.0四种模式之密码模式的更多相关文章
- IdentityServer4实现Oauth2.0四种模式之隐藏模式
接上一篇:IdentityServer4实现OAuth2.0四种模式之密码模式,密码模式将用户的密码暴露给了客户端,这无疑是不安全的,隐藏模式可以解决这个问题,由用户自己在IdentityServ ...
- IdentityServer4实现OAuth2.0四种模式之授权码模式
接上一篇:IdentityServer4实现OAuth2.0四种模式之隐藏模式 授权码模式隐藏码模式最大不同是授权码模式不直接返回token,而是先返回一个授权码,然后再根据这个授权码去请求token ...
- IdentityServer4实现OAuth2.0四种模式之客户端模式
一,准备内容 IdentityServer4 是Asp.net core的一个中间件,用于添加符合OpenId Connect和OAuth2.0规范的终端到Asp.net Core应用.在这里简单介绍 ...
- OAuth2.0 四种授权模式
OAuth2.0简单笔记(四种授权模式) 金天:坚持写东西,不是一件容易的事,换句话说其实坚持本身都不是一件容易的事.如果学习有捷径,那就是不断实践,不断积累.写笔记,其实是给自己看的,是体现积累的一 ...
- Core篇——初探IdentityServer4(客户端模式,密码模式)
Core篇——初探IdentityServer4(客户端模式,密码模式) 目录 1.Oatuth2协议的客户端模式介绍2.IdentityServer4客户端模式实现3.Oatuth2协议的密码模式介 ...
- Spring Boot Security Oauth2之客户端模式及密码模式实现
Spring Boot Security Oauth2之客户端模式及密码模式实现 示例主要内容 1.多认证模式(密码模式.客户端模式) 2.token存到redis支持 3.资源保护 4.密码模式用户 ...
- 快速了解yuv4:4:4 yuv4:2:2 yuv 4:1:1 yuv 4:2:0四种YUV格式区别
四种YUV格式区别如下: 1.YUV 4:4:4抽样方式: Y: Y0 Y1 Y2 Y3 U: U0 U1 U2 U3 V: V0 V1 V2 V3 2.YUV 4:2:2抽样方式: Y : ...
- JS创建对象的四种简单方式 (工厂模式和自定义构造函数创建对象的区别)
// 对象:特指的某个事物,具有属性和方法(一组无序的属性的集合) // 特征------>属性 // 行为------>方法 // 创建对象的四种方式 1 // 1.字面量的方式,就是实 ...
- 四种webAPP横向滑动模式图解—H5页面开发
一.容器整体滑动(DEMO只演示A-B-C-B,下同) 模拟动画效果见下图(上),滑动分解见下图(下): DEMO地址:http://nirvana.sinaapp.com/demo_slider/s ...
随机推荐
- R 语言输入输出 读取命令函参数
输入数据 使用键盘输入数据 只能处理小样本,很少使用 在创建 data.txt 字符串之后,用函数 read.table() 创建数据框 data.1.这种方法可以让我们把数据嵌入到R代码中,此处切记 ...
- Redis(一) 数据结构与底层存储 & 事务 & 持久化 & lua
参考文档:redis持久化:http://blog.csdn.net/freebird_lb/article/details/7778981 https://blog.csdn.net/jy69240 ...
- Google Dremel架构
Dremel 是Google 的“交互式”数据分析系统.Google开发了Dremel将处理时间缩短到秒级,作为MapReduce的有力补充.Apache推出Dremel的开源实现Drill,将Dre ...
- CAP原则 (阿里)
CAP原则又称CAP定理,指的是在一个分布式系统中,一致性(Consistency).可用性(Availability).分区容错性(Partition tolerance).CAP 原则指的是,这三 ...
- yapi内网部署 centos
1.部署方案 官方说明: https://hellosean1025.github.io/yapi/devops/index.html 2.需要注意的点 (1)在centos等服务启上最好使用“命令行 ...
- linux命令详解之du命令
du命令概述du命令作用是估计文件系统的磁盘已使用量,常用于查看文件或目录所占磁盘容量.du命令与df命令不同,df命令是统计磁盘使用情况,详见linux命令详解之df命令.du命令会直接到文件系统内 ...
- 支付宝小程序开发——获取位置API没有城市区号的最佳处理方案
前言: 需要对城市区号进行判断,但是支付宝小程序提供的my.getLocation() API返回的数据中只有6位的城市行政代码,诸如:深圳(440300),并没有区号(0755),那么怎么办呢? 需 ...
- Java13新特性 -- 文本块
在JDK 12中引入了Raw String Literals特性,但在发布之前就放弃了.这个JEP与引入多行字符串文字(text block) 在意义上是类似的. 这条新特性跟 Kotlin 里的文本 ...
- Flask 上传下载文件
上传文件示例代码 #encoding:utf8 from werkzeug.utils import secure_filename from flask import Flask,render_te ...
- go中值传递、引用传递、指针传递的区别
go语言中的值类型: int.float.bool.array.sturct等 值传递是指在调用函数时将实际参数复制一份传递到函数中,这样在函数中如果对参数进行修改,将不会影响到实际参数 声明一个值类 ...