IdentityServer3中客户端保护了授权资源,不难看出在IdentityServer3中,有这样一个设置

  AllowedScopes = new List<string>

                    {

                    "clientservices"

                    }

通过上面的客户端,拿到了四个授权范围,比如我有一个WebApi的资源授权服务站点,如下面的设置

 app.UseIdentityServerBearerTokenAuthentication(new IdentityServerBearerTokenAuthenticationOptions

            {

                Authority = LYM.Unity.AppSetting.AppSettingsHelper.GetString("Authority"),

                ValidationMode = ValidationMode.ValidationEndpoint,

                RequiredScopes = new[] {

                    "clientservices"

                }

            });

比较可以看出 通过客户端拿到的授权范围是可以访问Webapi的资源服务,通过其他不包含clientservices的客户端拿到的令牌是不具有这个webapi资源授权权限,所以客户端中的Scope设置更好的把资源分类保护起来了,而我们要做的就是对资源分类,对不同的客户端设置具体访问的资源分类,具体业务看具体需求,比如同一个客户端也可以同时具有多个资源访问权限

访问令牌是根据客户端设置的Scope范围,颁发给客户端的一个资源访问的字符串令牌,这个令牌对客户端是保密不透明的,客户端通过资源拥有者提供的授权及授权范围去访问具体的授权资源,如现有很多微信、QQ 第三方登录一样的,我们用户作为一个资源拥有者,而我们要访问网站作为一个客户端(这个客户端QQ、微信授予的Client),我们的基本资料等作为我们的资源,当我们用微信访问的时候会转到微信登录的一个客户端(提示是具体客户端名称-如某某网站),用户肆意授权后,通过此客户访问资源权限并携带微信提供的授权码回到 网站上,我们在用这个授权码令牌去验证。

令牌用于检索授权信息的标识,通过自定义的一些可验证的方式、算法检索授权信息,可包含授权信息、证书信息,如果不符合相关要求,急需要客户端提供一个有效的令牌。

IdentityServer3中提供了相关的接口注入方式

 factory.CustomTokenValidator = new Registration<ICustomTokenValidator, CustomTokenValidator>();
 public class CustomTokenValidator : ICustomTokenValidator

    {

        public async Task<TokenValidationResult> ValidateAccessTokenAsync(TokenValidationResult result)

        {

            return await Task.FromResult(result);

        }

        public async Task<TokenValidationResult> ValidateIdentityTokenAsync(TokenValidationResult result)

        {

            return await Task.FromResult(result);

        }

    }

接口实现中  ,在这个接口中看下 TokenValidationResult 这个类

public class TokenValidationResult : ValidationResult

    {

        public TokenValidationResult();

        //

        // 摘要:

        //     Gets or sets the claims.

        public IEnumerable<Claim> Claims { get; set; }

        //

        // 摘要:

        //     Gets or sets the client.

        public Client Client { get; set; }

        //

        // 摘要:

        //     Gets or sets the JWT.

        public string Jwt { get; set; }

        //

        // 摘要:

        //     Gets or sets the reference token.

        public Token ReferenceToken { get; set; }

        //

        // 摘要:

        //     Gets or sets the reference token identifier.

        public string ReferenceTokenId { get; set; }

    }

ValidateAccessTokenAsync这个验证方法 是验证Token, 这里包含了Client信息,Claim信息 还有 Jwt (Json Web Token)Token的信息 以及  ReferenceToken 引用相关的信息

ValidateIdentityTokenAsync  登出的时候会调用这个方法,在可以做处理比如清除相关Jwt  ReferenceToken

一步一步学习IdentityServer3 (13) 令牌的更多相关文章

  1. 一步一步学习IdentityServer3 (1)

    学习之初: IdentityServer3我自己最开始了解到的就是做一个SSO单点登录,后面发现还有单独的认证服务功能,其实它还可以做APIs的访问控制,资源授权,另外还可以为提供第三方登录,其他的自 ...

  2. 一步一步学习IdentityServer3 (2)

    下面就来做一个例子:IdentityServer3服务端的配置 VS2015创建一个MVC项目 IdrOAuth 用来授权的认证的站点

  3. 一步一步学习IdentityServer3 (4)

    其实上述例子 很多都很找到 但是在实际生态环境中给例子有很多不一样的地方 比如自定已登录界面怎么做? 怎么访问自己的用户数据库实现登录? 怎么在接口中使用,在接口中又怎么实现与Idr3结合授权? 等等 ...

  4. 12.Linux软件安装 (一步一步学习大数据系列之 Linux)

    1.如何上传安装包到服务器 有三种方式: 1.1使用图形化工具,如: filezilla 如何使用FileZilla上传和下载文件 1.2使用 sftp 工具: 在 windows下使用CRT 软件 ...

  5. (转) 一步一步学习ASP.NET 5 (四)- ASP.NET MVC 6四大特性

    转发:微软MVP 卢建晖 的文章,希望对大家有帮助.原文:http://blog.csdn.net/kinfey/article/details/44459625 编者语 : 昨晚写好的文章居然csd ...

  6. (转) 一步一步学习ASP.NET 5 (二)- 通过命令行和sublime创建项目

    转发:微软MVP 卢建晖 的文章,希望对大家有帮助. 注:昨天转发之后很多朋友指出了vNext的命名问题,原文作者已经做出了修改,后面的标题都适用 asp.net 5这个名称. 编者语 : 昨天发了第 ...

  7. 一步一步学习SignalR进行实时通信_1_简单介绍

    一步一步学习SignalR进行实时通信\_1_简单介绍 SignalR 一步一步学习SignalR进行实时通信_1_简单介绍 前言 SignalR介绍 支持的平台 相关说明 OWIN 结束语 参考文献 ...

  8. 一步一步学习SignalR进行实时通信_8_案例2

    原文:一步一步学习SignalR进行实时通信_8_案例2 一步一步学习SignalR进行实时通信\_8_案例2 SignalR 一步一步学习SignalR进行实时通信_8_案例2 前言 配置Hub 建 ...

  9. 一步一步学习SignalR进行实时通信_9_托管在非Web应用程序

    原文:一步一步学习SignalR进行实时通信_9_托管在非Web应用程序 一步一步学习SignalR进行实时通信\_9_托管在非Web应用程序 一步一步学习SignalR进行实时通信_9_托管在非We ...

随机推荐

  1. 拥抱Service Fabric —— 目录

    理解分布式 经典分布式系统设计 云时代分布式系统演进 Service Fabric基础概念 Node, Application, Service, Partition/Replicas Partiti ...

  2. Mongodb 笔记04 特殊索引和集合、聚合、应用程序设计

    特殊索引和集合 1. 固定集合:固定集合需要事先创建好看,而且它的大小是固定的.当固定集合被占满时,如果再插入新文档,固定集合会自动将最老的文档从集合中删除. 2. 创建固定集合:db.createC ...

  3. bzoj千题计划112:bzoj1022: [SHOI2008]小约翰的游戏John

    http://www.lydsy.com/JudgeOnline/problem.php?id=1022 http://www.cnblogs.com/TheRoadToTheGold/p/67448 ...

  4. git 第一次关联远程仓库

    1.首先需要先git pull origin master 2.然后合并两个无关的仓库 git pull origin master --allow-unrelated-histories

  5. Ubuntu下hadoop环境的搭建(伪分布模式)

    Ubuntu下hadoop环境的搭建(伪分布模式) 一.必要资源的下载 1.Java jdk(jdk-8u25-linux-x64.tar.gz)的下载 具体链接为: http://www.oracl ...

  6. 基本控件文档-UIKit结构图

    CHENYILONG Blog 基本控件文档-UIKit结构图 Fullscreen   UIKit结构图 技术博客http://www.cnblogs.com/ChenYilong/ 新浪微博htt ...

  7. HDU 1160 FatMouse's Speed (最长上升子序列)

    题目链接 题意:n个老鼠有各自的重量和速度,要求输出最长的重量依次严格递增,速度依次严格递减的序列,n最多1000,重量速度1-10000. 题解:按照重量递增排序,找出最长的速度下降子序列,记录序列 ...

  8. 训练赛第二场G题 ZOJ 2343

    题目链接:http://acm.zju.edu.cn/onlinejudge/showProblem.do?problemCode=2343 解题报告:首先我假设最后的正确的结果是a[1] , a[2 ...

  9. centos7.2安装php7.2

    Centos 7源码编译安装 php7.2 原文地址:https://renwole.com/archives/29 介绍: 先安装php依赖包,否则在编译安装php7的过程当中会出现各种报错,安装完 ...

  10. 命名实体识别(NER)

    一.任务 Named Entity Recognition,简称NER.主要用于提取时间.地点.人物.组织机构名. 二.应用 知识图谱.情感分析.机器翻译.对话问答系统都有应用.比如,需要利用命名实体 ...