IdentityServer4系列(03)【使用Authorization Code Flow】

最新推荐文章于 2024-01-26 10:20:10 发布
最新推荐文章于 2024-01-26 10:20:10 发布
阅读量560 收藏
点赞数
分类专栏: IdentityServer4|OAuth2.0协议 文章标签: IdentityServer4
原文链接:https://blog.csdn.net/WuLex
版权

Authorizaton Code Flow,比如用在MVC应用程序,其实MVC也有自己的验证授权,通过Authorizaton Code Flow把验证授权交给IdentityServer4。既然OpenId Connect是在OAuth基础上的封装,这就有大致如下的相关性。

OAuth2.0OpenId Connect
Authorization Code GrantAuthorization Code Flow
Implicit GrantImplicit Flow
Hybrid Flow
Resource Owner Password Credential GrantPassword Credential Flow
Client Credential GrantClient Credential Flow

Authorizaton Code Flow中,用户在界面登录,并且在授权同意页面选择同意或者不同意,整个过程包含了身份请求和Token请求。假设验证服务器的端口是5000, Web网站的端口是5002,交互细节大致如下:

当用户输入用户名密码,在同一授权页面做选择,会向验证服务器发送身份请求。

GET 5000/connect/authorize:response_type=code
    &scope=xxx
    &client_id=xxx
    &state=xxx
    &redirect_uri=xxx

因为请求中包含了redirect_uri,所以服务器会把响应发给web服务器。

5002/signin-oidc
    code=xxx
    state=xxx

浏览器收到code实际上通过开发者工具是可以捕获到的,但对User来说,其实是看不到的,对User来说获取code就是一个临时步骤,接下来Web应用程序会带着这个code向验证服务器发送一个token请求。

说得简单一点,当用户输入用户名密码,在同意授权页做选择后发起身份请求,得到的来自验证服务器的code,接着就向验证服务器请求Token,带着这个刚刚拿到的code。Web应用程序的Token请求如下:

POST 5000/connect/token
    client_id
    client_secret
    code
    grant_type=authorization_code,
    redirect_uri

然后验证服务器返回给web服务器的包括:access_token, id_token, refresh_token, token_type=Bearer。这些信息被放在了浏览器的Cookie中。

验证服务器 5000

  • Config.cs
public static class Config
{
    public static IEnumerable<IdentityResource> GetIdentityResources()
    {
        return new IdentityResource[]{
            new IdentityResources.OpenId(),
            new IdentityResources.Profile(),
            new IdentityResources.Address(),
            new IdentityResources.Phone(),
            new IdentityResources.Email()
        };
    }
    public static IEnumerable<ApiResource> GetApis()
    {
        return new ApiResource[]{
            new ApiResource("api1", "");
        };
    }
    public static IEnumerable<Client> GetClients()
    {
        return new[]{
            new Client{
                ClientId = "mvc client",
                ClientName = "",
                AllowedGrantTypes = GrantTypes.CodeAndClientCredentials,
                ClientSecret = {new Secret("mvc_secret".Sha256())},
                RedirectUris = {"http://localhost:5002/signin-oidc"},//验证服务器向这个地址发code
                FrontChannelLogoutUri="http://localhost:5002/signout-oidc",//登出
                PostLogoutRedirectUris={"http://localhost:5002/signout-callback-oidc"},//登出的回调,可能是回调验证服务器的
                AlwaysIncludUserClaimsInIdToken=true,
                AllowOfflineAccess=true,//refresh token
                AllowedScopes={
                    "api1",
                    IdentityServerConstants.StandardScopes.OpenId,
                    IdentityServerConstants.StandardScopes.Profile,
                    IdentityServerConstants.StandardScopes.Address,
                    IdentityServerConstants.StandardScopes.Email,
                    IdentityServerConstants.StandardScopes.Phone
                }
            }
        };
    }
}
  • AccountOptons.cs
public class AccountOptions
{
    public static bool AutomaticRedirectAfterSignOut = true;//登出后跳转到web页,而不是验证服务器页
}
  • Startup.cs
public class Startup
{
    public void ConfigureServices(IServieCollection services)
    {
        var builder = services.AddIdentityServer(options => {
            options.Events.RaiseErrorEvetns = true;
            options.Events.RaiseInformationEvents = true;
            options.Events.RaiseFailureEvents = true;
            options.Events.RaiseSuccessEvents = true;
        })
        .AddTestUsers(TestUsers.Users);
        builder.AddInMemoryIdentityResources(Config.GetIdentityResources());
        builder.AddInMemoryApiResources(Config.GetApis());
        builder.AddInMemeoryClients(Config.GetClients());
        if(Environment.IsDevelopment())
        {
            builder.AddDeveloperSigningCredential();
        }
        else
        {
            throw new Exception("need to configure key material");
        }
    }
    public Configute(IApplicationBuilder app)
    {
        app.UseIdentityServer();
    }
}

API资源 50001

  • Startup.cs
services.AddAuthentication("Bearer")
    .AddJwtBearer("Bearer", options => {
        options.Authority = "http://localhost:5000";
        options.RequireHttpsMetadata = false;
        options.Audience = "api1";
    })
app.UseAuthentication();

Web服务器 5002

  • Startup.cs
JwtSecurityTokenHandler.DefaultInboundClaimTypeMap.Clear();
services.AddAuthetnication(options =>{
    options.DefaultScheme = CookieAuthenticaitonDefaults.AuthenticationScheme;
    options.DefaultChallengeScheme = OpenIdConnectDefaults.AuthenticationScheme;
})
    .AddCookie(CookieAuthenticaitonDefaults.AuthenticationScheme)
    .AddOpenIdConnect(OpenIdConnectDefaults.AuthenticationScheme, options => {
        options.SignInScheme = CookieAuthenticationDefaults.AuthenticaitonScheme;
        options.Authority = "http://localhost:5000";
        options.RequireHttpsMetadata = false;
        options.ClientId = "mvc client";
        options.ClientSecret = "mvc_secret";
        options.SaveTokens = true;
        options.ResponseType = "code";
        options.Scope.Clear();
        options.Scope.Add("api1");
        options.Scope.Add(OidcConstants.StandardScopes.OpenId);
        options.Scope.Add(OidcConstants.StandardScopes.Profile);
        options.Scope.Add(OidcConstants.StandardScopes.Email);
        options.Scope.Add(OidcConstants.StandardScopes.Address);
        options.Scope.Add(OidcConstants.StandardScopes.Phone);
        options.Scope.Add(OidcConstants.StandardScopes.OfflineAccess);
    })
app.UseAuthentication();
  • HomeController.cs
public class HomeController : Controller
{
    public async Task<IActionResult> Index()
    {
        //先文档
        var client = new HttpClient();
        var disco = await client.GetDiscoveryDocumentAsync("http://localhost:5000/");
        if(disco.IsError)
        {
            throw new Exception(disco.Error);
        }
        //获取token
        var accessToken = await HttpContext.GetTokenAsync(OpenIdConnectionParameterNames.AccessToken);
        client.SetBearerToken(accessToken);
        //请求
        var response = await client.GetAsync("http://localhost:50001/identity");
        if(!response.IsSuccessStatusCode)
        {
            throw new Exception(response.ReasonPhrase);
        }
        var content = await response.Content.ReadAsStringAsync();
        return View("Index", content);
    }
    public async Task<IActionResult> Privacy()
    {
        var accessToken = await HttpContext.GetTokenAsync(OpenIdConnectParameterNames.AccessToken);
        var idToken = await HttpContext.GetAsync(OpenIdConnectParameterNames.IdToken);
        var refreshToken = await HttpContext.GetTokenAsync(OpenIdConnectParameterNames.RefreshToken);
        var authorizationCode = await HttpContext.GetTokenAsync(OpenIdConnectParameterNames.Code);
        ViewData["accessToken"] = accessToken;
        ViewData["idToken"] = idToken;
        ViewData["refreshToken"] = refreshToken;
        return View();
    }
    public async Task Logout()
    {
        await HttpContext.SignOutAsync(CookieAuthenticationDefaults.AuthenticationScheme);
        await HttpContext.SignOutAsync(OpenIdConnectDefaults.AuthenticationScheme);
    }
}

刷新token

  • 验证服务器这边默认是3600秒,可以重新设置
new Client{
    AccessTokenLifetime = 60;
}
  • API资源的应用程序页需要设置
services.AddAuthentication("Bearer")
    .AddJwtBearer("Bearer", optionos => {
        options.TokenValidationParameters.RequrieExpirationTime = ture;
        options.TokenValidationParameters.ClockSkew = TimeSpan.FromMinutes(1);
    })
  • 受保护的web应用程序
public async Task<IActionResult> Index()
{
    var client = new HttpClient();
    var disco = await client.GetDiscoveryDocumentAsync("http://localhost:5000");
    if(disco.IsError)
    {
        throw new Exception(disco.Error);
    }
    var accessToken = await HttpContext.GetTokenAsync(OpenIdConnectParameterNames.AcessToken);
    client.SetBearerToken(accessToken);
    var respone = await client.GetAsync("http://localhost:50001/identity");
    if(!response.IsSuccessSatusCode)
    {
        if(response.StatusCode == HttpSatusCode.Unauthorized)
        {
            accessToken = await RenewTokenAsync();
            return RedirectToAction();
        }
        throw new Exception(response.ReasonPhrase);
    }
    var conent = await response.Content.ReadAsStringAsync();
    return View("Index", content);
}
private async Task<string> RenewTokenAsync()
{
    var calient = new HttpClient();
    var disco
    //获取当前refresh token
    var refreshToken  = await HttpContext.GetTokenAsync(OpenIdConnectParameterNames.RefreshToken);
    //拿着最新的refresh token获取各种token
    var tokenResponse = await client.RequestRefreshTokenAsync(new RefreshTokenRequest{
        Address= disco.TokenEndpoint,
        ClientId,
        Scoep,
        ClientSecret,
        GratyTypes = OpenIdConnectGrantTypes.RefreshToken,
        RefreshToken = refreshToken
    });
    if(tokenResponse.IsError)
    {
    }
    var expiresAt = DateTime.UtcNow + TimeSpan.FromSeconds(tokenResponse.ExpiresIn);
    var tokens = new []{
        new AuthenticationToken{
            Name = OpenIdConnectParameterNames.IdToken,
            Value = tokenResponse.IdentityToken
        },
        new AuthenticationToken{
            Name = OpenIdConnectParaeterNames.AccessToken,
            Value = tokenResponse.AccessToken
        },
        new AuthetnicationToken{
            Name = OpenIdConnectParameterNames.RefreshToken,
            Value = tokenResponse.RefreshToken
        },
        new AuthenticationToken{
            Name = "expires_at",
            Value = epiresAt.ToString("o", CultureInfo.InvariantCulture)
        }
    };
    //重新验证
    var currentAuthenticationResult = await HttpContext.AuthenticateAsync(CookieAuthenticationDefaults.AuthenticationScheme);
    currentAuthenticationResult.Properties.StoreToken(tokens);
    //重新登录
    await HttpContext.SignInAsync(CookieAuthenticationDefaults.AuthenticationScheme, currentAuthenticateResult.Principal, currentAuthenticateResult.Properties);
    return tokenResponse.AccessToken;
}
.NET跨平台
关注
专栏目录
如何在AngularJS web应用程序中实现OpenID Connect认证 OpenID Connect Authentication in AngularJS
程序员光剑
08-04 1420
在现代互联网应用中,身份验证已经成为一个越来越重要的话题。由于用户数据越来越多、越来越复杂,各种安全问题也层出不穷,因此需要更为安全的身份验证系统来保护用户的隐私信息。目前,业界最流行的身份验证方式是用户名密码这种模式。但是,这种模式存在着很多问题,比如管理混乱、存储明文等。OpenID Connect(OpenID认证协议)就是为了解决这一问题而设计出来的。本文将介绍如何在AngularJS web应用程序中实现OpenID Connect认证。
ecw2c理解元数据:使用BigQuery k-means将4,000个堆栈溢出标签聚类
热门推荐
cunehu1722的博客
07-24 6万+
您如何将超过4,000个活动的Stack Overflow标签分组为有意义的组? 对于无监督学习和k均值聚类来说,这是一项完美的任务-现在您可以在BigQuery中完成所有这些工作。 让我们找出方法。 Visualizing a universe of clustered tags. Felipe Hoffais a Developer Advocate fo...
理解 Authorization Code Flow with Proof Key for Code Exchange (PKCE)
levin blog
07-22 1648
理解 Authorization Code Flow with Proof Key for Code Exchange (PKCE) 这里首先解释一下 regular web app 和 public app 的意思。 regular web app:传统的 web app,只有一个 server-side,用户适用浏览器与 server-side 交互,用户所看到的界面和所能操作的功能,均由 server-side 生成; public app:现代的 web app,它由两部分组成,client-si
identityServer4 AuthorizationCode Flow
aifan2109的博客
06-11 160
1.mvc Client配置 (1)Startup 1 JwtSecurityTokenHandler.DefaultInboundClaimTypeMap.Clear(); 2 3 services.AddAuthentication(options => 4 { 5 ...
关于OAuth2.0 Authorization Code+PKCE flow在原生客户端(Native App)下集成的思考
dotNET跨平台
03-30 2033
Working with Proof Key for Code Exchange (PKCE) - DEV Community写在前面前几天看了园友的一篇文章被广泛使用的OAuth2.0的密码模式已经废了,放弃吧 被再次提起:Implicit Flow Password Grant,均已被标记为Legacy,且OAuth2.1里面已经删除了,目前OAuth2.1只剩三种...
IdentityServer4 指定角色授权(Authorize(Roles=&quot;admin&quot;))
dotNET跨平台
06-24 1349
1. 业务场景 IdentityServer4 授权配置Client中的AllowedScopes,设置的是具体的 API 站点名字,也就是使用方设置的ApiName,示例代码: //授权中心配置new Client{    ClientId = "client_id_1",    AllowedGrantTypes = GrantTypes.ResourceOwnerPassword,
identityserver4 Authorize 传参
weixin_34044273的博客
03-03 478
原文 http://docs.identityserver.io/en/release/endpoints/authorize.html Authorize Endpoint授权终端 用于通过浏览器授权 请求令牌 或 授权码,该过程主要用于最终用户授权及可选同意。The authorize endpoint can be used to request tokens or a...
identityserver4简单认证,授权模式(5种)源码
04-28
5. 委托授权模式(Hybrid Flow/Authorization Code with PKCE): 结合了授权码模式和简化模式,首先获取授权码,然后在客户端验证后交换访问令牌。同时,通过Proof Key for Code Exchange (PKCE)机制,增强了简化模式...
IdentityServer4.Samples
02-19
1. 授权码流(Authorization Code Flow) 此流程适用于有后端服务器的SPA(单页应用)。客户端首先引导用户通过IdentityServer进行登录,获取授权码,然后向客户端应用的后端服务器交换访问令牌。这样,敏感的令牌...
IdentityServer4 结合 .net core3.1 四种授权模式 demo
05-12
1. 授权码模式(Authorization Code Flow) 授权码模式是适用于Web应用的标准模式,因为它可以处理用户浏览器中的敏感信息。在这个模式中,客户端首先引导用户到IdentityServer进行身份验证,然后返回一个授权码。...
[转]OAuth 2.0 筆記 (4.1) Authorization Code Grant Flow 細節
CurrentJ
08-19 381
OAuth 2.0 筆記 (4.1) Authorization Code Grant Flow 細節 Sep 30, 2013 在 Authorization Grant Code Flow 裡,Client 不直接向 Resource Owner 要求許可,而是把 Resource Owner 導去 Authorization Server 要求許可, Authorization Ser...
IdentityServer4填坑(1) - 授权码(Authorization Code
tonytonychopper的专栏
05-22 2009
研究Identity Server 4时,遇到的问题和解决方法。 问题1: 不跳登录页直接访问受保护API。 解决方法: MvcClient项目 -> HomeController.cs -> CallApi方法前面需要加[Authorize]。 问题2:登陆后,访问受保护的API依然401。 报invalid_token错。 分析: 比较官方Sample和自己研究的代码,发现IdentityServer项目的Config.cs中,增加了一个AccessToke..
第60章 设备流交互服务 - Identity Server 4 中文文档(v1.0.0)
dibopang0571的博客
04-28 200
该IDeviceFlowInteractionService接口旨在提供用户界面用于在设备流授权期间与IdentityServer通信的服务。它可以从依赖注入系统获得,通常作为构造函数参数注入到IdentityServer的用户界面的MVC控制器中。 60.1 IDeviceFlowInteractionService的APIs GetAuthorizationContextAsync...
【One by One系列IdentityServer4(四)授权码流程
dotNET跨平台
01-16 679
接下来我们介绍新内容,OAuth2.0叫做授权码(authorization code),在OpenID Connect中则属于OpenId Connect Flow,称为授权码流程(A...
OIDC的介绍
weixin_65692248的博客
01-26 1965
OIDC协议的基本介绍,以及三种流程。
java获取authorization_从java程序打开浏览器获取Google授权,询问已获得许可
weixin_39997310的博客
12-19 556
In order for a java program to access my google drive I need to create an oauth2.Credential using a json credential file (see https://console.developers.google.com) for getting an access token.The pro...
Google登录授权详细过程
qq_37754001的博客
03-23 3万+
这篇文章包含了google登录授权从API创建、到使用Java代码完成登录的一个完整demo。 目录 了解Auth2.0 创建API服务 使用API 了解Auth2.0 google相关文档:https://developers.google.com/identity/protocols/oauth2 google账号授权登录用的就是Auth2.0协议。 举一个例子了解Auth2.0的设计模式。 令牌 Token 你在公司某个周五的下午点了一杯奶茶,楼下有个需要密码才能进来的门禁,你当然不
IdentityServer4总结
NLP工程化
02-14 1455
一.客户端模式 客户端模式只对客户端进行授权,不涉及到用户信息。如果API需要提供到第三方应用,第三方应用自己做用户授权,不需要用到用户资源,就可以用客户端模式,只对客户端进行授权访问api资源。 1.添加客户端 new Client() { ClientId="apiClientCd", //客户端Id ClientSecrets={new Secret("apiSecret".Sha256()) }, //客户端密码 AllowedGrantTypes=GrantTypes.
IdentityServer4官方文档代码配置unauthorized_client Invalid grant type for client错误
zhou_xuexi的专栏
11-25 7888
今天按照IdentityServer4官方文档写了一下代码测试下来报错,官方文档配置ConfigureService代码如下图 官方配置Configure代码如下图 运行报错效果如下图 完全按照官方文档跑的,然后找了一圈原来是没有加上响应类型,代码如下 public void ConfigureServices(IServiceCollection services) ...
spring boot authorization code顯示
最新发布
08-22
Spring Boot Authorization Code Flow是一种OAuth 2.0的身份验证授权机制,它通常用于Web应用中需要从第三方API获取用户授权的情况。当用户通过应用程序访问需要权限控制的资源时,Spring Boot会引导一个授权码流程...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值