OiDc可以说是OAuth的改造版,在最初的OAuth中,我们需要先请求一下认证服务器获取下Access_token,然后根据Access_token去Get资源服务器, 况且OAuth1 和 2 完全不兼容,易用性差,而OIDC可以在登陆的时候就把信息返回给你,不需要你在请求一下资源服务器。下面我们根据Oidc来做一个单点登录。

  新建三个项目(.NET Core Mvc)两个Client(端口5001,5002),一个Server(5000),首先在Server中添加IdentityServer4的引用。

  在Server中Config.cs用于模拟配置。

    public class Config

    {

        public static IEnumerable<ApiResource> GetApiResource()

        {

            return new List<ApiResource>

            {

                new ApiResource("api","My Api App")

            };

        }

        public static IEnumerable<Client> GetClients()

        {

            return new List<Client>

            {

                new Client()

                {

                    ClientId = "mvc",

                    AllowedGrantTypes = GrantTypes.Implicit,

                    ClientSecrets ={

                        new Secret("secret".Sha256())

                    },

                    RequireConsent = false,

                    RedirectUris = {"http://localhost:5001/signin-oidc",

                        "http://localhost:5002/signin-oidc" } ,

                    PostLogoutRedirectUris = {"http://localhost:5001/signout-callback-oidc" ,

                        "http://localhost:5002/signout-callback-oidc" },

                    AllowedScopes = {

                        IdentityServerConstants.StandardScopes.Profile,

                        IdentityServerConstants.StandardScopes.OpenId

                    }

                }

            };

        }

        public static List<TestUser> GetTestUsers()

        {

            return new List<TestUser>

            {

                new TestUser()

                {

                    SubjectId = "",

                    Username = "zara",

                    Password = ""

                }

            };

        }

        public static IEnumerable<IdentityResource> GetIdentityResources()

        {

            return new List<IdentityResource>

            {

                new IdentityResources.OpenId(),

                new IdentityResources.Profile(),

                new IdentityResources.Email()

            };

        }

    }

GetClient方法中字段为RedirectUris是登陆成功返回的地址,并且我们采用隐式模式(因为只是传统web中传递Access_Token),RequireConsent是否出现同意授权页面,这个我们后续再细说.写完Config.cs后,我们需要依赖注入到IdentityServer中。

public void ConfigureServices(IServiceCollection services)

        {

            services.Configure<CookiePolicyOptions>(options =>

            {

                // This lambda determines whether user consent for non-essential cookies is needed for a given request.

                options.CheckConsentNeeded = context => true;

                options.MinimumSameSitePolicy = SameSiteMode.None;

            });
        //config to identityServer Services

            services.AddIdentityServer()

                .AddDeveloperSigningCredential()

                .AddInMemoryClients(Config.GetClients())

                .AddTestUsers(Config.GetTestUsers())

                .AddInMemoryIdentityResources(Config.GetIdentityResources())

                .AddInMemoryApiResources(Config.GetApiResource());

            services.AddMvc().SetCompatibilityVersion(CompatibilityVersion.Version_2_1);

        }

在Configure中添加代码 app.UseIdentityServer(); .我们还需要添加一个登陆页面,名为Account.cshtml.

@{

    ViewData["Title"] = "Index";

}

<h2>Index</h2>

@using mvcWebFirstSolucation.Models;

@model LoginVM;

<div class="row">

    <div class="col-md-4">

        <section>

            <form method="post" asp-controller="Account" asp-action="Login" asp-route-returnUrl="@ViewData["returnUrl"]">

                <h4>Use a local to log in .</h4>

                <hr />

                <div class="from-group">

                    <label asp-for="UserName"></label>

                    <input asp-for="UserName" class="form-control">

                    <span asp-validation-for="UserName" class="text-danger"></span>

                </div>

                <div class="from-group">

                    <label asp-for="PassWord"></label>

                    <input asp-for="PassWord" type="password" class="form-control">

                    <span asp-validation-for="UserName" class="text-danger"></span>

                </div>

                <div class="from-group">

                    <button type="submit" class="btn btn-default">log in </button>

                </div>

            </form>

        </section>

    </div>

</div>

@section Scripts

{

    @await Html.PartialAsync("_ValidationScriptsPartial")

}

在控制器中我们写一个构造函数,用于将IdentityServer.Text给我们封装好的对象传过来,这个对象是我们在Config.cs中添加的用户信息,也就是GetClients的返回值,全都在 TestUserStore 中。其中还有一个提供好的方法,来给我们用,如果验证通过我们直接跳转到了传递过来的ReturnUrl.

    public class AccountController : Controller

    {

        private readonly TestUserStore _users;

        public AccountController(TestUserStore ussotre)

        {

            _users = ussotre;

        }

        [HttpGet]

        [Route("/Account/Login")]

        public IActionResult Index(string ReturnUrl = null)

{

            ViewData["returnUrl"] = ReturnUrl;

            return View();

        }

        private IActionResult RediretToLocal(string returnUrl)

        {

            if (Url.IsLocalUrl(returnUrl))

            {

                return Redirect(returnUrl);

            }

            return RedirectToAction(nameof(HomeController.Index),"Home");

        }

        [HttpPost]

        public async Task<IActionResult> Login(LoginVM vm,string returnUrl = null)

        {

            if (ModelState.IsValid)

            {

                ViewData["returnUrl"] = returnUrl;

                var user =  _users.FindByUsername(vm.UserName);

                if (user==null)

                {

                    ModelState.AddModelError(nameof(LoginVM.UserName), "userName is exists");

                }

                else

                {

                    if(_users.ValidateCredentials(vm.UserName, vm.PassWord))

                    {

                        var props = new AuthenticationProperties

                        {

                            IsPersistent = true,

                            ExpiresUtc = DateTimeOffset.UtcNow.Add(TimeSpan.FromMinutes())

                        };

                        await Microsoft.AspNetCore.Http

                            .AuthenticationManagerExtensions

                                .SignInAsync( HttpContext, user.SubjectId, user.Username, props );

                        return RediretToLocal(returnUrl);

                    }

                    ModelState.AddModelError(nameof(LoginVM.PassWord), "Wrong Password");

                }

            }

            return View();

        }

    }

这个时候最基本的服务端已经配置成功了,我们开始配置受保护的客户端吧。

在客户端中我们不需要引入IdentityServer,因为我们只是去请求服务端然后看看cookies有没有在而已,所以我们只需要给受保护的客户端的Api做好安全判断就好.

在受保护的控制器中添加 [Authorize] 标识。然后再Startup.cs中添加安全验证。并且在Configure中use下 app.UseAuthentication();

public void ConfigureServices(IServiceCollection services)

        {

            services.AddAuthentication(options =>

            {

                options.DefaultScheme = "Cookies";

                options.DefaultChallengeScheme = "oidc";

            }).AddCookie("Cookies").AddOpenIdConnect("oidc", options => {

                options.SignInScheme = "Cookies";

                options.Authority = "http://localhost:5000";

                options.RequireHttpsMetadata = false;

                options.ClientId = "mvc";

                options.ClientSecret = "secret";

                options.SaveTokens = true;

            });

            services.AddMvc().SetCompatibilityVersion(CompatibilityVersion.Version_2_1);

        }

在首页中最好遍历下Claims对象,这个是通过OIDC直接给我们返回回来的.(最后另一个客户端也这么干!)

<div>

    @foreach (var claim in User.Claims)

    {

        <dl>

            <dt>@claim.Type</dt>

            <dd>@claim.Value</dd>

        </dl>

    }

</div>

现在我们启动项目看一下效果吧。

.NET Core IdentityServer4实战 第Ⅴ章-单点登录的更多相关文章

  1. .NET Core IdentityServer4实战 第二章-OpenID Connect添加用户认证

    内容:本文带大家使用IdentityServer4进行使用OpenID Connect添加用户认证 作者:zara(张子浩) 欢迎分享,但需在文章鲜明处留下原文地址. 在这一篇文章中我们希望使用Ope ...

  2. .NET Core IdentityServer4实战 第一章-入门与API添加客户端凭据

    内容:本文带大家使用IdentityServer4进行对API授权保护的基本策略 作者:zara(张子浩) 欢迎分享,但需在文章鲜明处留下原文地址. 本文将要讲述如何使用IdentityServer4 ...

  3. .NET Core IdentityServer4实战 第Ⅳ章-集成密码登陆模式

    回顾下ClientCredentials模式,在ReSourceApi中定义了我们公开服务,第三方网站想要去访问ReSourceApi则需要在身份验证服务中获取toekn,根据token的内容,硬编码 ...

  4. .NET Core IdentityServer4实战-开篇介绍与规划

    一.开篇寄语 由于假期的无聊,我决定了一个非常有挑战性的活动,也就是在年假给大家带来一个基于OAuth 2.0的身份授权框架,它就是 IdentityServer4 ,如果没有意外的话,一定可以顺利的 ...

  5. IdentityServer4使用OpenIdConnect实现单点登录

    接上一篇:IdentityServer4实现OAuth2.0四种模式之授权码模式 前面写的四种OAuth2.0实现模式只涉及到IdentityServer4的OAuth2.0特性,并没有涉及到OenI ...

  6. 基于IdentityServer4的OIDC实现单点登录(SSO)原理简析

    写着前面 IdentityServer4的学习断断续续,兜兜转转,走了不少弯路,也花了不少时间.可能是因为没有阅读源码,也没有特别系统的学习资料,相关文章很多园子里的大佬都有涉及,有系列文章,比如: ...

  7. 第十五章 单点登录——《跟我学Shiro》

    目录贴:跟我学Shiro目录贴 Shiro 1.2开始提供了Jasig CAS单点登录的支持,单点登录主要用于多系统集成,即在多个系统中,用户只需要到一个中央服务器登录一次即可访问这些系统中的任何一个 ...

  8. .NET Core IdentityServer4实战 第三章-使用EntityFramework Core进行持久化配置

    内容:本文带大家使用IdentityServer4进行使用使用EntityFramework Core进行配置和操作数据 作者:zara(张子浩) 欢迎分享,但需在文章鲜明处留下原文地址. 前两章内容 ...

  9. .NET Core IdentityServer4实战 第六章-Consent授权页

    在identityServer4中登陆页面只要是成功了,就会注册一个Cookie在服务器资源上,像现在大部分的网站第三方授权,都是经过一个页面,然后选需要的功能,IdentityServer4也给我们 ...

随机推荐

  1. objective-c启用ARC时的内存管理

    PDF版下载:http://download.csdn.net/detail/cuibo1123/7443125      在objective-c中,内存的引用计数一直是一个让人比較头疼的问题.尤其 ...

  2. sql server 2016 JSON 学习笔记

    虽然现在win服务器已经几乎不用了,但是网上看到2016开始原生支持json 还是想试试 建立一个表  id int , json varchar(2000) json字段中输入数据 {"r ...

  3. WPF Datagrid with some read-only rows - Stack Overflow

    原文:WPF Datagrid with some read-only rows - Stack Overflow up vote 21 down vote accepted I had the sa ...

  4. 属性更改通知(INotifyPropertyChanged)——针对ObservableCollection

    问题 在开发webform中,wpf中的ObservableCollection<T>,MSDN中说,在添加项,移除项时此集合通知控件,我们知道对一个集合的操作是CURD但是恰恰没有Upd ...

  5. JAVASCRIPT高程笔记-------JSON与AJAX

    json对象——语法 简单值:与JS相同语法,可以是字符串,数值,布尔值,null:但不支持undefined 对象: 复杂数据类型,表示一组有序的键值对,键值对的值可以是简单数据,也可以是复杂数据 ...

  6. 【Gerrit】Performance Cheat Sheet

    首先说下做这件事情的主因,组内有人说Project repo sync有点慢,废话不多说,直接上图. 相关官方文档参考链接: 我的数据: ~/review_site/logs# fgrep " ...

  7. 【Python】wifi开关测试

    #!/usr/bin/python # -*- coding: UTF-8 -*- import os import time def find_device(): os.system('adb ki ...

  8. 简单易用的MongoDB

    从我第一次听到Nosql这个概念到如今已经走过4个年头了,但仍然没有具体的去做过相应的实践.最近获得一段学习休息时间,购买了Nosql技术实践一书,正在慢慢的学习.在主流观点中,Nosql大体分为4类 ...

  9. 【Git】整合分支那些事儿

    对于scm这个岗位来说,基线升级应该是这个岗位需要的必备技能了,现在来说说我司进行高通代码基线升级时选择的方式方法,供大家参考,也供自己学习积累. git这个工具大家都并不陌生,但是对于不经常提交代码 ...

  10. fileapi.h里的API函数(包括LockFileEx和FindFirstChangeNotification函数)

    /** * This file is part of the mingw-w64 runtime package. * No warranty is given; refer to the file ...