ASP.NET Core 有一个灵活的方式来处理外部认证,有如下几个步骤:

如果你使用了 ASP.NET Identity,ASP.NET Identity 对于许多底层代码都做了封装, 建议阅读Microsoft文档并查看ASP.NET Identity快速入门源码,以此来充分了解 ASP.NET Identity。

一.添加外部认证处理程序

与外部认证提供者交互所需的协议实现被封装在一个认证处理程序中。 一些提供者使用专有协议(例如Facebook等社交提供者),一些使用标准协议, OpenID Connect,WS-Federation或SAML2p。

请参阅此快速入门以了解添加外部认证并对其进行配置的分步说明。

二.cookies的作用

外部认证处理程序上的一个设置 SignInScheme,例如:

services.AddAuthentication()

    .AddGoogle("Google", options =>

    {

        options.SignInScheme = "scheme of cookie handler to use";

        options.ClientId = "...";

        options.ClientSecret = "...";

    })

登录 scheme 指定将暂时存储外部认证的结果的cookie处理程序的名称,例如 由外部提供商发送的身份信息单元(Claim)。 这是必要的,因为在完成外部认证过程之前,通常会有几个重定向(比如QQ登录的跳转)。

鉴于这是一种常见的做法,IdentityServer 专门为此外部提供程序工作流程注册一个Cookie处理程序。 该方案通过IdentityServerConstants.ExternalCookieAuthenticationScheme常量表示。 如果你要使用 IdentityServer 提供外部cookie处理程序,那么对于上面的SignInScheme,默认值为IdentityServerConstants.ExternalCookieAuthenticationScheme常量:

services.AddAuthentication()

    .AddGoogle("Google", options =>

    {

        options.SignInScheme = IdentityServerConstants.ExternalCookieAuthenticationScheme;

        options.ClientId = "...";

        options.ClientSecret = "...";

    })

您也可以注册您自己的自定义Cookie处理程序,如下所示:

services.AddAuthentication()

    .AddCookie("YourCustomScheme")

    .AddGoogle("Google", options =>

    {

        options.SignInScheme = "YourCustomScheme";

        options.ClientId = "...";

        options.ClientSecret = "...";

    })

对于特定的场景,你可以不使用外部Cookie机制,将外部用户直接转发到主要Cookie处理程序。 这通常涉及在外部处理程序上处理事件,以确保从外部身份源执行正确的身份信息(Claim)转换。

三. 触发认证

你可以通过HttpContext上的ChallengeAsync扩展方法(或使用MVC ChallengeResult)调用外部认证处理程序。

如果传递某些设置,比如: returnUrl和scheme可以这样设置:

var callbackUrl = Url.Action("ExternalLoginCallback");

var props = new AuthenticationProperties

{

    RedirectUri = callbackUrl,

    Items =

    {

        { "scheme", provider },

        { "returnUrl", returnUrl }

    }

};

return Challenge(provider, props);

四. 回调处理程序和用户签名

在回调页面上,通常任务是:

  • 检查由外部提供商返回的身份。
  • 如果处理用户,对于已存在的用户和新用户的处理是不同的
  • 新用户在登入可能需要额外的步骤和UI界面。
  • 可能会创建一个内部账户来绑定外部身份
  • 存储你要保留的外部身份信息单元(Claim)。
  • 删除临时cookie
  • 登录用户

** 检查外部身份:**

// read external identity from the temporary cookie

var result = await HttpContext.AuthenticateAsync(IdentityServerConstants.ExternalCookieAuthenticationScheme);

if (result?.Succeeded != true)

{

    throw new Exception("External authentication error");

}

// retrieve claims of the external user

var externalUser = result.Principal;

if (externalUser == null)

{

    throw new Exception("External authentication error");

}

// retrieve claims of the external user

var claims = externalUser.Claims.ToList();

// try to determine the unique id of the external user - the most common claim type for that are the sub claim and the NameIdentifier

// depending on the external provider, some other claim type might be used

var userIdClaim = claims.FirstOrDefault(x => x.Type == JwtClaimTypes.Subject);

if (userIdClaim == null)

{

    userIdClaim = claims.FirstOrDefault(x => x.Type == ClaimTypes.NameIdentifier);

}

if (userIdClaim == null)

{

    throw new Exception("Unknown userid");

}

var externalUserId = userIdClaim.Value;

var externalProvider = userIdClaim.Issuer;

// use externalProvider and externalUserId to find your user, or provision a new user

** 清理和登录:**

// issue authentication cookie for user

await HttpContext.SignInAsync(user.SubjectId, user.Username, provider, props, additionalClaims.ToArray());

// delete temporary cookie used during external authentication

await HttpContext.SignOutAsync(IdentityServerConstants.ExternalCookieAuthenticationScheme);

// validate return URL and redirect back to authorization endpoint or a local page

if (_interaction.IsValidReturnUrl(returnUrl) || Url.IsLocalUrl(returnUrl))

{

    return Redirect(returnUrl);

}

return Redirect("~/");

五.State,URL Length和ISecureDataFormat

当重定向到外部登录时,来自客户端应用程序的状态必须频繁进行往返。 这意味着状态在离开客户端之前被捕获并保存直到用户返回到客户端应用程序。 许多协议(包括OpenID Connect)都允许将某种状态作为参数传递,身份提供者将在响应中返回该状态。 ASP.NET Core提供的OpenID Connect身份验证处理程序利用了该协议的这一功能,这就是它如何实现上述的returnUrl功能。

在请求参数中存储状态的问题是请求URL可能会变得太大(超过2000个字符的公共限制)。 OpenID Connect身份验证处理程序的确提供了一个可扩展点,用于将状态存储在服务器中,而不是在请求URL中。 您可以通过实现ISecureDataFormat 并在OpenIdConnectOptions上配置它来实现这一点。

幸运的是,IdentityServer为您提供了一个实现,由在DI容器中注册的IDistributedCache实现(例如,独立的MemoryDistributedCache)支持。 要使用IdentityServer提供的安全数据格式实现,只需在配置DI时在IServiceCollection上调用AddOidcStateDataFormatterCache扩展方法即可。 如果没有参数传递,则所有配置的OpenID Connect处理程序将使用IdentityServer提供的安全数据格式实现:

public void ConfigureServices(IServiceCollection services)

{

    // configures the OpenIdConnect handlers to persist the state parameter into the server-side IDistributedCache.

    services.AddOidcStateDataFormatterCache();

    services.AddAuthentication()

        .AddOpenIdConnect("demoidsrv", "IdentityServer", options =>

        {

            // ...

        })

        .AddOpenIdConnect("aad", "Azure AD", options =>

        {

            // ...

        })

        .AddOpenIdConnect("adfs", "ADFS", options =>

        {

            // ...

        });

}

如果只配置特定方案,则将这些方案作为参数传递:

public void ConfigureServices(IServiceCollection services)

{

    // configures the OpenIdConnect handlers to persist the state parameter into the server-side IDistributedCache.

    services.AddOidcStateDataFormatterCache("aad", "demoidsrv");

    services.AddAuthentication()

        .AddOpenIdConnect("demoidsrv", "IdentityServer", options =>

        {

            // ...

        })

        .AddOpenIdConnect("aad", "Azure AD", options =>

        {

            // ...

        })

        .AddOpenIdConnect("adfs", "ADFS", options =>

        {

            // ...

        });

}

IdentityServer Topics(5)- 使用第三方登录的更多相关文章

  1. IdentityServer Topics(4)- 登录

    为了使IdentityServer代表用户发布令牌,该用户必须登录到IdentityServer. Cookie认证 使用来自ASP.NET Core的cookie身份验证处理程序管理的cookie跟 ...

  2. iOS微信第三方登录实现

    iOS微信第三方登录实现   一.接入微信第三方登录准备工作.移动应用微信登录是基于OAuth2.0协议标准构建的微信OAuth2.0授权登录系统.在进行微信OAuth2.0授权登录接入之前,在微信开 ...

  3. 使用QQ第三方登录时,手机应用和网站应用对同一个QQ号,获取到的openid不一样

    使用QQ第三方登录时,手机应用和网站应用对同一个QQ号,获取到的openid不一样openid生成是根据应用的appid和QQ号的一些信息加密生成,对于一个appid和QQ号来说,openid是唯一的 ...

  4. 腾讯开放平台web第三方登录获取信息类(包含签名)

    不清楚具体参数的可以先看下第三方登录的文档: class QQ { //$appid 你的appid //$openid 获取到的唯一的用户openid //$openkey 获取到的openkey ...

  5. 第三方登录插件.NET版XY.OAuth-CSharp

    XY.OAuth-CSharp GitHub:XY.OAuth-CSharp OSChina:XY.OAuth-CSharp 第三方登录插件.NET版 使用 首先,从NuGet上安装"XY. ...

  6. iOS之ShareSDK实现分享、第三方登录等功能

    (1)官方下载ShareSDK iOS 2.8.8,地址:http://sharesdk.cn/ (2)根据实际情况,引入相关的库,参考官方文档. (3)在项目的AppDelegate中一般情况下有三 ...

  7. 利用ShareSDK进行第三方登录和分享

    到相应开发者平台注册开发者账号,并添加你要进行分享和使用第三方登录应用的信息. 添加新浪微博应用 注册网址 http://open.weibo.com添加QQ应用 注册网址  http://mobil ...

  8. 分享前端Facebook及Twitter第三方登录

    最近公司要求做海外的第三方登录:目前只做了Facebook和Twitter;国内百度到的信息太少VPN FQ百度+Google了很久终于弄好了.但是做第三方登录基本上都有个特点就是引入必须的js,设置 ...

  9. iOS - Share 分享/第三方登录

    1.系统方式创建分享 按照下图在 Info.plist 文件中将 Localization native development region 的值改为 China.如果不设置此项弹出的分享页面中显示 ...

  10. IOS 集成第三方登录

    我使用的是友盟上集成的第三方登录功能,一共使用了三个应用的登录授权,QQ.微信.新浪微博.由于第三方登录授权成功后,需要跳转到一个新的界面,所以这里需要在项目里设置第三方登录的SSO授权.就是必须安装 ...

随机推荐

  1. CS:APP3e 深入理解计算机系统_3e ShellLab(tsh)实验

    详细的题目要求和资源可以到 http://csapp.cs.cmu.edu/3e/labs.html 或者 http://www.cs.cmu.edu/~./213/schedule.html 获取. ...

  2. ERR Unsupported CONFIG parameter: notify-keyspace-events; nested exception is redis.clients.jedis.exceptions.JedisDataException

    异常信息 时间:2017-04-05 15:53:57,361 - 级别:[ WARN] - 消息: [other] The web application [ROOT] appears to hav ...

  3. Intellij IDEA编译代码出现红色标志

    如图 原因:项目没有模块化加载 解决方法: 快捷键 Ctrl+Alt+Shift+S 进入 Project Structure 界面,选择 Modules --> Sources -->选 ...

  4. 关于《Head First Python》一书中print_lol()函数的思考

    关于<Head First Python>一书中print_lol()函数的思考 在<Head First Python>第一章中,讲述到Python处理复杂数据(以电影数据列 ...

  5. Vue2 后台管理系统解决方案

    基于Vue.js 2.x系列 + Element UI 的后台管理系统解决方案. github地址:https://github.com/lin-xin/manage-system demo地址:ht ...

  6. http头部 Expect

    本文同时发表在https://github.com/zhangyachen/zhangyachen.github.io/issues/90 在通过curl调用对方接口时,发现超时现象很严重,于是询问对 ...

  7. [置顶] webapi token、参数签名是如何生成的

    一个问题 在这里我想问大家一句,如果你向一个刚刚接触.net web后端程序开发的同学(别人刚刚也就学了webform的request,response,会提交表单的这种刚接触不久的同学),你怎么去解 ...

  8. JS画几何图形之二【圆】

    半径为r的圆上的点p(x,y)与圆心O(x0,y0)的关系: x = x0+rcosA;  y = y0+rsinA ,A为弧度 样例:http://www.zhaojz.com.cn/demo/dr ...

  9. 用原生实现点击删除点击的li

    简单的实现方式 <!DOCTYPE html> <html> <head> <title></title> <meta charset ...

  10. ES6 函数的扩展3

    箭头函数 基本用法 ES6允许使用"箭头"(=>)定义函数 var f = v => v; 上面的箭头函数等同于: var f = function(v) { retu ...