ASP.NET Core 有一个灵活的方式来处理外部认证,有如下几个步骤:

如果你使用了 ASP.NET Identity,ASP.NET Identity 对于许多底层代码都做了封装, 建议阅读Microsoft文档并查看ASP.NET Identity快速入门源码,以此来充分了解 ASP.NET Identity。

一.添加外部认证处理程序

与外部认证提供者交互所需的协议实现被封装在一个认证处理程序中。 一些提供者使用专有协议(例如Facebook等社交提供者),一些使用标准协议, OpenID Connect,WS-Federation或SAML2p。

请参阅此快速入门以了解添加外部认证并对其进行配置的分步说明。

二.cookies的作用

外部认证处理程序上的一个设置 SignInScheme,例如:

services.AddAuthentication()

    .AddGoogle("Google", options =>

    {

        options.SignInScheme = "scheme of cookie handler to use";

        options.ClientId = "...";

        options.ClientSecret = "...";

    })

登录 scheme 指定将暂时存储外部认证的结果的cookie处理程序的名称,例如 由外部提供商发送的身份信息单元(Claim)。 这是必要的,因为在完成外部认证过程之前,通常会有几个重定向(比如QQ登录的跳转)。

鉴于这是一种常见的做法,IdentityServer 专门为此外部提供程序工作流程注册一个Cookie处理程序。 该方案通过IdentityServerConstants.ExternalCookieAuthenticationScheme常量表示。 如果你要使用 IdentityServer 提供外部cookie处理程序,那么对于上面的SignInScheme,默认值为IdentityServerConstants.ExternalCookieAuthenticationScheme常量:

services.AddAuthentication()

    .AddGoogle("Google", options =>

    {

        options.SignInScheme = IdentityServerConstants.ExternalCookieAuthenticationScheme;

        options.ClientId = "...";

        options.ClientSecret = "...";

    })

您也可以注册您自己的自定义Cookie处理程序,如下所示:

services.AddAuthentication()

    .AddCookie("YourCustomScheme")

    .AddGoogle("Google", options =>

    {

        options.SignInScheme = "YourCustomScheme";

        options.ClientId = "...";

        options.ClientSecret = "...";

    })

对于特定的场景,你可以不使用外部Cookie机制,将外部用户直接转发到主要Cookie处理程序。 这通常涉及在外部处理程序上处理事件,以确保从外部身份源执行正确的身份信息(Claim)转换。

三. 触发认证

你可以通过HttpContext上的ChallengeAsync扩展方法(或使用MVC ChallengeResult)调用外部认证处理程序。

如果传递某些设置,比如: returnUrl和scheme可以这样设置:

var callbackUrl = Url.Action("ExternalLoginCallback");

var props = new AuthenticationProperties

{

    RedirectUri = callbackUrl,

    Items =

    {

        { "scheme", provider },

        { "returnUrl", returnUrl }

    }

};

return Challenge(provider, props);

四. 回调处理程序和用户签名

在回调页面上,通常任务是:

  • 检查由外部提供商返回的身份。
  • 如果处理用户,对于已存在的用户和新用户的处理是不同的
  • 新用户在登入可能需要额外的步骤和UI界面。
  • 可能会创建一个内部账户来绑定外部身份
  • 存储你要保留的外部身份信息单元(Claim)。
  • 删除临时cookie
  • 登录用户

** 检查外部身份:**

// read external identity from the temporary cookie

var result = await HttpContext.AuthenticateAsync(IdentityServerConstants.ExternalCookieAuthenticationScheme);

if (result?.Succeeded != true)

{

    throw new Exception("External authentication error");

}

// retrieve claims of the external user

var externalUser = result.Principal;

if (externalUser == null)

{

    throw new Exception("External authentication error");

}

// retrieve claims of the external user

var claims = externalUser.Claims.ToList();

// try to determine the unique id of the external user - the most common claim type for that are the sub claim and the NameIdentifier

// depending on the external provider, some other claim type might be used

var userIdClaim = claims.FirstOrDefault(x => x.Type == JwtClaimTypes.Subject);

if (userIdClaim == null)

{

    userIdClaim = claims.FirstOrDefault(x => x.Type == ClaimTypes.NameIdentifier);

}

if (userIdClaim == null)

{

    throw new Exception("Unknown userid");

}

var externalUserId = userIdClaim.Value;

var externalProvider = userIdClaim.Issuer;

// use externalProvider and externalUserId to find your user, or provision a new user

** 清理和登录:**

// issue authentication cookie for user

await HttpContext.SignInAsync(user.SubjectId, user.Username, provider, props, additionalClaims.ToArray());

// delete temporary cookie used during external authentication

await HttpContext.SignOutAsync(IdentityServerConstants.ExternalCookieAuthenticationScheme);

// validate return URL and redirect back to authorization endpoint or a local page

if (_interaction.IsValidReturnUrl(returnUrl) || Url.IsLocalUrl(returnUrl))

{

    return Redirect(returnUrl);

}

return Redirect("~/");

五.State,URL Length和ISecureDataFormat

当重定向到外部登录时,来自客户端应用程序的状态必须频繁进行往返。 这意味着状态在离开客户端之前被捕获并保存直到用户返回到客户端应用程序。 许多协议(包括OpenID Connect)都允许将某种状态作为参数传递,身份提供者将在响应中返回该状态。 ASP.NET Core提供的OpenID Connect身份验证处理程序利用了该协议的这一功能,这就是它如何实现上述的returnUrl功能。

在请求参数中存储状态的问题是请求URL可能会变得太大(超过2000个字符的公共限制)。 OpenID Connect身份验证处理程序的确提供了一个可扩展点,用于将状态存储在服务器中,而不是在请求URL中。 您可以通过实现ISecureDataFormat 并在OpenIdConnectOptions上配置它来实现这一点。

幸运的是,IdentityServer为您提供了一个实现,由在DI容器中注册的IDistributedCache实现(例如,独立的MemoryDistributedCache)支持。 要使用IdentityServer提供的安全数据格式实现,只需在配置DI时在IServiceCollection上调用AddOidcStateDataFormatterCache扩展方法即可。 如果没有参数传递,则所有配置的OpenID Connect处理程序将使用IdentityServer提供的安全数据格式实现:

public void ConfigureServices(IServiceCollection services)

{

    // configures the OpenIdConnect handlers to persist the state parameter into the server-side IDistributedCache.

    services.AddOidcStateDataFormatterCache();

    services.AddAuthentication()

        .AddOpenIdConnect("demoidsrv", "IdentityServer", options =>

        {

            // ...

        })

        .AddOpenIdConnect("aad", "Azure AD", options =>

        {

            // ...

        })

        .AddOpenIdConnect("adfs", "ADFS", options =>

        {

            // ...

        });

}

如果只配置特定方案,则将这些方案作为参数传递:

public void ConfigureServices(IServiceCollection services)

{

    // configures the OpenIdConnect handlers to persist the state parameter into the server-side IDistributedCache.

    services.AddOidcStateDataFormatterCache("aad", "demoidsrv");

    services.AddAuthentication()

        .AddOpenIdConnect("demoidsrv", "IdentityServer", options =>

        {

            // ...

        })

        .AddOpenIdConnect("aad", "Azure AD", options =>

        {

            // ...

        })

        .AddOpenIdConnect("adfs", "ADFS", options =>

        {

            // ...

        });

}

IdentityServer Topics(5)- 使用第三方登录的更多相关文章

  1. IdentityServer Topics(4)- 登录

    为了使IdentityServer代表用户发布令牌,该用户必须登录到IdentityServer. Cookie认证 使用来自ASP.NET Core的cookie身份验证处理程序管理的cookie跟 ...

  2. iOS微信第三方登录实现

    iOS微信第三方登录实现   一.接入微信第三方登录准备工作.移动应用微信登录是基于OAuth2.0协议标准构建的微信OAuth2.0授权登录系统.在进行微信OAuth2.0授权登录接入之前,在微信开 ...

  3. 使用QQ第三方登录时,手机应用和网站应用对同一个QQ号,获取到的openid不一样

    使用QQ第三方登录时,手机应用和网站应用对同一个QQ号,获取到的openid不一样openid生成是根据应用的appid和QQ号的一些信息加密生成,对于一个appid和QQ号来说,openid是唯一的 ...

  4. 腾讯开放平台web第三方登录获取信息类(包含签名)

    不清楚具体参数的可以先看下第三方登录的文档: class QQ { //$appid 你的appid //$openid 获取到的唯一的用户openid //$openkey 获取到的openkey ...

  5. 第三方登录插件.NET版XY.OAuth-CSharp

    XY.OAuth-CSharp GitHub:XY.OAuth-CSharp OSChina:XY.OAuth-CSharp 第三方登录插件.NET版 使用 首先,从NuGet上安装"XY. ...

  6. iOS之ShareSDK实现分享、第三方登录等功能

    (1)官方下载ShareSDK iOS 2.8.8,地址:http://sharesdk.cn/ (2)根据实际情况,引入相关的库,参考官方文档. (3)在项目的AppDelegate中一般情况下有三 ...

  7. 利用ShareSDK进行第三方登录和分享

    到相应开发者平台注册开发者账号,并添加你要进行分享和使用第三方登录应用的信息. 添加新浪微博应用 注册网址 http://open.weibo.com添加QQ应用 注册网址  http://mobil ...

  8. 分享前端Facebook及Twitter第三方登录

    最近公司要求做海外的第三方登录:目前只做了Facebook和Twitter;国内百度到的信息太少VPN FQ百度+Google了很久终于弄好了.但是做第三方登录基本上都有个特点就是引入必须的js,设置 ...

  9. iOS - Share 分享/第三方登录

    1.系统方式创建分享 按照下图在 Info.plist 文件中将 Localization native development region 的值改为 China.如果不设置此项弹出的分享页面中显示 ...

  10. IOS 集成第三方登录

    我使用的是友盟上集成的第三方登录功能,一共使用了三个应用的登录授权,QQ.微信.新浪微博.由于第三方登录授权成功后,需要跳转到一个新的界面,所以这里需要在项目里设置第三方登录的SSO授权.就是必须安装 ...

随机推荐

  1. 超详细 值得收藏 linux CentOS 7 配置Apache服务【转发+新增】

    一.Apache简介 Apache HTTP Server(简称Apache)是Apache软件基金会的一个开放源代码的网页服务器软件,可以在大多数电脑操作系统中运行,由于其跨平台和安全性(尽管不断有 ...

  2. SSM学习(三)--集成spring mvc

    spirng mvc是一个mvc框架,与struts2类似,都是基于Servlet封装而成的框架,所以要了解spring mvc或者struts2比需先了解Servlet,本篇我们先把spring m ...

  3. 自学Python3.2-函数分类

    函数的分类 内置函数,自定义函数,匿名函数 一.内置函数(python3.x) 内置参数详解官方文档: https://docs.python.org/3/library/functions.html ...

  4. Spark术语

    1.resilient distributed dataset (RDD) The core programming abstraction in Spark, consisting of a fau ...

  5. 【java设计模式】【创建模式Creational Pattern】工厂方法模式Factory Method Pattern(多态性工厂模式Polymorphic Factory Pattern、虚拟构造子模式Virtual Constructor Pattern)

    public class Test { public static void main(String[] args){ Creator ca=new ConcreteCreatorA(); ca.cr ...

  6. 商城项目整理(三)JDBC增删改查

    商品表的增加,修改,删除,订单表的增加,确认,用户表的查看,日志表的增加,查看 商品表建表语句: create table TEST.GOODS_TABLE ( gid NUMBER not null ...

  7. iOS cocos2d安装以及问题解决

    一:下载: 首先要去Cocos2d和Cocos2d-x网站下载相关的工具: 1.Cocos2d下载地址:http://www.cocos2d-iphone.org,然后进入Download页面,下边有 ...

  8. php通过system()调用Linux命令问题

    最近在做php和linux crontab的联调,发现php在linux下的权限问题需要引起注意,调试问题的过程中发现有许多问题前人说的比较零散,我在这里汇总,顺带抛砖引玉一下. 1.$result= ...

  9. 用LinkedList集合演示栈和队列的操作

    在数据结构中,栈和队列是两种重要的线性数据结构.它们的主要不同在于:栈中存储的元素,是先进后出:队列中存储的元素是先进先出.我们接下来通过LinkedList集合来演示栈和队列的操作. import ...

  10. 编译c语言程序扩展ruby

    环境: windows 10 64bit ruby 2.2.4p230 (2015-12-16 revision 53155) [i386-mingw32] gcc version 4.8.1 (GC ...