IdentityServer4系列(04)【使用Hybrid Flow】

最新推荐文章于 2022-10-19 12:24:29 发布
最新推荐文章于 2022-10-19 12:24:29 发布
阅读量261 收藏
点赞数
分类专栏: IdentityServer4|OAuth2.0协议 文章标签: IdentityServer4
原文链接:https://blog.csdn.net/WuLex
版权

认证服务器上的Authorizaiton Endpoint用来验证用户身份, Token Endpoint用来发放Access Token从而访问受保护API资源, UerInfo Endpoint用来获取用户信息。在Authorization Code Flow中,首先会Redirect到认证服务器的一个登陆界面,当用户输入用户名和密码,在同意页面做出选择,点击确定之后,认证服务器就对用户进行验证,并且发送Authorization Code给浏览器,浏览器再拿着这个Authrization Code向认证服务器的Token Endpoint发送请求,获取到Acess Token
比如在一个Web应用程序的Startup.cs中大致这样:

services.AddAuthentication(options =>
            {
                options.DefaultScheme = CookieAuthenticationDefaults.AuthenticationScheme;
                options.DefaultChallengeScheme = OpenIdConnectDefaults.AuthenticationScheme;
            })
                .AddCookie(CookieAuthenticationDefaults.AuthenticationScheme)
                .AddOpenIdConnect(OpenIdConnectDefaults.AuthenticationScheme, options =>
                {
                    options.SignInScheme = CookieAuthenticationDefaults.AuthenticationScheme;
                    options.Authority = "http://localhost:5000";
                    options.RequireHttpsMetadata = false;
                    ......
                    options.ResponseType = "code";
                    ......
                });

而在Hybrid Flow中,options.ResponseType的值可能是code id_token,code token, code id_token token。区别在于,当认证服务器对用户身份认证授权后返回给浏览器的就是这3种可能性。需要知道的是,浏览器和认证服务器的Authorization Endpoint交互的时候都发生在浏览器本身,在这以后,在和认证服务器的Token Endpoint交互时,是应用程序服务器和认证服务器之间的交互。

验证服务器,端口5000

  • Config.cs
// mvc, hybrid flow
                new Client
                {
                    ClientId = "hybrid client",
                    ClientName = "ASP.NET Core Hybrid client",
                    ClientSecrets= { new Secret("hybrid_secret".Sha256())},
                    AllowedGrantTypes=GrantTypes.Hybrid,
                    RedirectUris =
                    {
                        "http://localhost:7000/signin-oidc"
                    },
                    PostLogoutRedirectUris =
                    {
                        "http://localhost:7000/signout-callback-oidc"
                    },
                    AllowOfflineAccess = true,
                    AlwaysIncludeUserClaimsInIdToken=true,
                    AllowedScopes =
                    {
                        "api1",
                        IdentityServerConstants.StandardScopes.OpenId,
                        IdentityServerConstants.StandardScopes.Profile,
                        IdentityServerConstants.StandardScopes.Address,
                        IdentityServerConstants.StandardScopes.Email,
                        IdentityServerConstants.StandardScopes.Phone
                    }
                }
  • Startup.cs
var builder = services.AddIdentityServer(options =>
            {
                options.Events.RaiseErrorEvents = true;
                options.Events.RaiseInformationEvents = true;
                options.Events.RaiseFailureEvents = true;
                options.Events.RaiseSuccessEvents = true;
            })
                .AddTestUsers(TestUsers.Users);
            // in-memory, code config
            builder.AddInMemoryIdentityResources(Config.GetIdentityResources());
            builder.AddInMemoryApiResources(Config.GetApis());
            builder.AddInMemoryClients(Config.GetClients());
            // in-memory, json config
            //builder.AddInMemoryIdentityResources(Configuration.GetSection("IdentityResources"));
            //builder.AddInMemoryApiResources(Configuration.GetSection("ApiResources"));
            //builder.AddInMemoryClients(Configuration.GetSection("clients"));
            if (Environment.IsDevelopment())
            {
                builder.AddDeveloperSigningCredential();
            }
            else
            {
                throw new Exception("need to configure key material");
            }
            app.UseIdentityServer();

API服务器,端口50001

应用程序,端口7001

  • Startup.cs
 public class Startup
    {
        public Startup(IConfiguration configuration)
        {
            Configuration = configuration;
        }
        public IConfiguration Configuration { get; }
        public void ConfigureServices(IServiceCollection services)
        {
            services.Configure<CookiePolicyOptions>(options =>
            {
                options.CheckConsentNeeded = context => true;
                options.MinimumSameSitePolicy = SameSiteMode.None;
            });
            services.AddMvc().SetCompatibilityVersion(CompatibilityVersion.Version_2_2);
            //如果没有这句,会出现Jwt的claims,有了这句,出现well-known的claims,容易辨识的claim
            JwtSecurityTokenHandler.DefaultInboundClaimTypeMap.Clear();
            services.AddAuthentication(options =>
            {
                options.DefaultScheme = CookieAuthenticationDefaults.AuthenticationScheme;
                options.DefaultChallengeScheme = OpenIdConnectDefaults.AuthenticationScheme;
            })
                .AddCookie(CookieAuthenticationDefaults.AuthenticationScheme)
                .AddOpenIdConnect(OpenIdConnectDefaults.AuthenticationScheme, options =>
                {
                    options.SignInScheme = CookieAuthenticationDefaults.AuthenticationScheme;
                    options.Authority = "http://localhost:5000";
                    options.RequireHttpsMetadata = false;
                    options.ClientId = "hybrid client";
                    options.ClientSecret = "hybrid_secret";
                    options.SaveTokens = true;
                    options.ResponseType = "code id_token";
                    options.Scope.Clear();
                    options.Scope.Add("api1");
                    options.Scope.Add(OidcConstants.StandardScopes.OpenId);
                    options.Scope.Add(OidcConstants.StandardScopes.Profile);
                    options.Scope.Add(OidcConstants.StandardScopes.Email);
                    options.Scope.Add(OidcConstants.StandardScopes.Phone);
                    options.Scope.Add(OidcConstants.StandardScopes.Address);
                    options.Scope.Add(OidcConstants.StandardScopes.OfflineAccess);
                    //把一些被自动过滤掉的claim找回来
                    options.ClaimActions.Remove("nbf");
                    options.ClaimActions.Remove("amr");
                    options.ClaimActions.Remove("exp");
                    //删除一些不需要的claim
                    options.ClaimActions.DeleteClaim("sid");
                    options.ClaimActions.DeleteClaim("sub");
                    options.ClaimActions.DeleteClaim("idp");
                });
        }
        public void Configure(IApplicationBuilder app, IHostingEnvironment env)
        {
            if (env.IsDevelopment())
            {
                app.UseDeveloperExceptionPage();
            }
            else
            {
                app.UseExceptionHandler("/Error");
            }
            app.UseStaticFiles();
            app.UseAuthentication();
            app.UseCookiePolicy();
            //app.UseMvc();
            app.UseMvcWithDefaultRoute();
        }
    }
  • HomeController.cs
[Authorize]
    public class HomeController : Controller
    {
        public async Task<IActionResult> Index()
        {
            var client = new HttpClient();
            //获取文档
            var disc = await client.GetDiscoveryDocumentAsync("http://localhost:5000");
            if(disc.IsError)
            {
               
                throw new Exception(disc.Error);
            }
            //获取access token
            var accessToken = await HttpContext.GetTokenAsync(OpenIdConnectParameterNames.AccessToken);
            //请求受保护API资源
            client.SetBearerToken(accessToken);
            var resposne =await client.GetAsync("http://localhost:50001/identity");
            if(!resposne.IsSuccessStatusCode)
            {
                if(resposne.StatusCode == HttpStatusCode.Unauthorized)
                {
                    accessToken = await RenewTokenAsync();
                    return RedirectToAction();
                }
                throw new Exception(resposne.ReasonPhrase);
            }
            var content = await resposne.Content.ReadAsStringAsync();
            return View("Index", content);
        }
        public async Task<IActionResult> Privacy()
        {
            var accessToken = await HttpContext.GetTokenAsync(OpenIdConnectParameterNames.AccessToken);
            var idToken = await HttpContext.GetTokenAsync(OpenIdConnectParameterNames.IdToken);
            var refreshToken = await HttpContext.GetTokenAsync(OpenIdConnectParameterNames.RefreshToken);
            var authorizationCode = await HttpContext.GetTokenAsync(OpenIdConnectParameterNames.Code);
            ViewData["accessToken"] = accessToken;
            ViewData["idToken"] = idToken;
            ViewData["refreshToken"] = refreshToken;
            return View();
        }
        public async Task Logout()
        {
            await HttpContext.SignOutAsync(CookieAuthenticationDefaults.AuthenticationScheme);
            await HttpContext.SignOutAsync(OpenIdConnectDefaults.AuthenticationScheme);
        }
        private async Task<string> RenewTokenAsync()
        {
            var client = new HttpClient();
            //请求文档
            var disco = await client.GetDiscoveryDocumentAsync("http://localhost:5000");
            if(disco.IsError)
            {
                throw new Exception(disco.Error);
            }
            //获取当前refresh token
            var refreshToken = await HttpContext.GetTokenAsync(OpenIdConnectParameterNames.RefreshToken);
            //拿着当前的refresh token重新获取token
            var tokenResposne = await client.RequestRefreshTokenAsync(new RefreshTokenRequest {
                Address = disco.TokenEndpoint,
                ClientId = "hybrid client",
                ClientSecret= "hybrid_secret",
                Scope= "api1 openid profile email phone address",
                GrantType = OpenIdConnectGrantTypes.RefreshToken,
                RefreshToken = refreshToken
            });
            if(tokenResposne.IsError)
            {
                throw new Exception(tokenResposne.Error);
            }
            var expiresAt = DateTime.UtcNow + TimeSpan.FromSeconds(tokenResposne.ExpiresIn);
            var token = new[] {
                new AuthenticationToken
                {
                    Name = OpenIdConnectParameterNames.IdToken,
                    Value = tokenResposne.IdentityToken
                },
                new AuthenticationToken
                {
                    Name = OpenIdConnectParameterNames.AccessToken,
                    Value = tokenResposne.AccessToken
                },
                new AuthenticationToken
                {
                    Name = OpenIdConnectParameterNames.RefreshToken,
                    Value = tokenResposne.RefreshToken
                },
                new AuthenticationToken
                {
                    Name = "expires_at",
                    Value = expiresAt.ToString("o", CultureInfo.InvariantCulture)
                }
            };
            //重新验证
            var currentAuthenticateResult = await HttpContext.AuthenticateAsync(CookieAuthenticationDefaults.AuthenticationScheme);
            currentAuthenticateResult.Properties.StoreTokens(token);
            //重新登陆
            await HttpContext.SignInAsync(CookieAuthenticationDefaults.AuthenticationScheme, currentAuthenticateResult.Principal, currentAuthenticateResult.Properties);
            return tokenResposne.AccessToken;
        }
    }
.NET跨平台
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
identityserver4简单认证,授权模式(5种)源码
04-28
OAuth2标准现在推荐使用Hybrid Flow来替代简化模式。 3. 客户端凭据模式(Client Credentials Grant): 此模式用于客户端(通常是服务对服务的应用)直接用其自身凭证向认证服务器请求访问令牌,无需用户参与。这种...
.NET Core 2.0从HttpContext中获取Access Token的方法及代码
极客神殿
06-27 2125
本文主要介绍.NET Core 2.0 Authorize 从HttpContext中获取Token的方法及示例代码。 1、Startup.cs中ConfigureServices配置 services.TryAddSingleton<IHttpContextAccessor, HttpContextAccessor>(); services.AddAuthentication(options => { options.Default
jwt怎么获取当前登录用户_jwt - 如何在.NET Core Web API中获取当前用户(来自JWT Token) - SO中文参考 - www.soinside.com...
weixin_39860583的博客
12-19 1442
似乎很多人都在关注这个问题,所以我想分享一些我学习的信息,因为我不久前问过这个问题。它使一些事情变得更加清晰(至少对我来说)并且不那么明显(对我来说就像.NET新手一样)。正如MarcusHöglund在评论中提到的那样:它应该与“web api”相同。在ASP.NET Core Mvc和Web Api中合并使用相同的控制器。这绝对是真的,绝对正确。因为它在.NET和.NET Core中都是一样的...
Asp.net Core 系列之--5.认证、授权与自定义权限的实现
爱无止
11-25 2285
ChuanGoing2019-11-24   asp.net core系列已经来到了第五篇,通过之前的基础介绍,我们了解了事件订阅/发布的eventbus整个流程,初探dapper ORM实现,并且简单的介绍了领域模型、领域仓储及服务实现,结合上一篇的日志、错误处理及事务和本篇将要介绍的权限,大致的可以形成一个简单的后端系统架构。当然这些都是零散的一些技术概念的介绍,后面如果有时间的话...
IdentityServer4(四)
天众师兄的专栏
09-10 315
本文介绍Asp.Net Core MVC项目,连接IdentityServer4项目实现授权登录。 1、新建IdentityServer4项目,选择In-Memory项目模板。 2、将launchSetting.json修改URL,http://localhost:5001 3、修改Startup文件 public class Startup { public IWebHostEnvironment Environment { get; } ..
IdentityServer4实战:持久化 Resource
u012610612的专栏
04-10 603
前言 在前几篇的学习中,我们定义的 ApiResource、ApiScope、IdentityResource 都是存储在内存中的,通过 AddInMemoryApiScopes(Startup.GetApiScopes())、AddInMemoryIdentityResources(Startup.GetIdentityResources())、 AddInMemoryApiResources(Startup.GetApiResources()) 的方式注入到 IDS4 的服务中。本篇我们学习如何使用
Hybrid TKLBIST Flow User's Manual
最新发布
03-20
本手册是关于Hybrid TKLBIST Flow的用户手册,旨在帮助用户了解和使用Hybrid TKLBIST Flow软件。Hybrid TKLBIST Flow是一种混合测试流程,结合了传统的测试方法和基于扫描的测试方法,以提高测试效率和测试覆盖率。 ...
Hybrid TK/LBIST Flow User's Manual
01-03
Hybrid TK/LBIST Flow User's Manual Software Version 2017.4 December 2017
android或者IOS使用hybrid实现native和h5交互
03-24
4. **具体交互示例** - **H5调用Native示例**:在H5中定义一个函数`callNativeFunction`,在Android或iOS的桥接代码中注册对应的处理函数,当H5调用`callNativeFunction`时,原生端执行相应操作。 - **Native...
eNSP实验4-3-hybrid端口配置
01-28
在本文中,我们将深入探讨“eNSP实验4-3-hybrid端口配置”的相关知识点,这是一个关于网络互连的实践练习,旨在帮助学生掌握如何配置hybrid端口以实现特定的VLAN策略。实验由学生张三进行,其主要目标是通过理解并...
Identity Server 4 - Hybrid Flow - Claims
weixin_33909059的博客
07-05 153
前一篇 Identity Server 4 - Hybrid Flow - MVC客户端身份验证: https://www.cnblogs.com/cgzl/p/9253667.html Claims 我不知道怎么样翻译这个词比较好, 所以我一般就不翻译了. 在前一篇文章里, MVC客户端配置身份认证的时候有这么一句话(Startup的ConfigureServices): JwtSe...
IdentityServer4 Identity Resource中的user Claim
张峰的博客
02-06 2809
Identity Resource 身份资源,里面的UserClaims是用户的一些属性,默认情况下,即使写再多的属性,token中也只会返回sub一个,我们需要在代码中加入 var builder = services.AddIdentityServer() .AddInMemoryIdentityResources(Config.GetIdentit...
identity4使用mysql_IdentityServer4(1) + Mysql
weixin_26949673的博客
02-01 434
IdeneityServer 使用的是内存缓存的存储方式,所有的配置都写在Config.cs里。在实际应用中,应该使用数据库存储方式,方便随时配置,如添加新的用户、资源、客户端,也可以节省服务器内存。本文从三个方面来实现 IdentityServer4 结合 Mysql 从而实现数据库存储方式,分别是客户端及资源数据、令牌及授权码数据以及用户数据。一、核心这里的核心是有三个上下文:1.配置数据(...
IdentityServer4实战详解(HyBrid混合模式篇)
世界既不黑也不白,而是一道精致的灰。
10-19 935
首先,我们希望允许客户端使用混合流,此外,我们还希望客户端允许执行服务器到服务器的API调用,这些调用不在用户的上下文中(这与我们的客户端凭证quickstart非常相似)。在隐式流中,所有令牌都通过浏览器传输,这对于身份令牌来说是完全没问题的。现在我们还想请求一个访问令牌。MVC客户端的修改也是最小的——ASP.NET核心的OpenID连接处理器对混合流有内置的支持,所以我们只需要更改一些配置值。,HyBrid模式是授权码的简化模式的进阶版,更加的安全,解决了在混合模式中访问令牌直接暴露在浏览器的风险。
IdentityServer4-MVC+Hybrid实现Claims授权验证(四)
12-26 463
上节以对话形式,大概说了几种客户端授权模式的原理,这节重点介绍Hybrid模式在MVC下的使用。且为实现IdentityServer4从数据库获取User进行验证,并对Claim进行权限设置打下基础(第五节介绍)。 本节内容比较多,且涉及一、二节的内容,如有不懂,可先熟悉一、二节知识。 一、新建授权服务,命名为AuthServer (1)...
IdentityServer4 And AspNetCore.Identity Get AccessToken 问题
weixin_30783913的博客
08-17 193
结合 AspNetCore.Identity 主要就是下载 官方的IdentityServer4.AspNetIdentity 这个包 下面来看下源码 里面帮助我们处理了 IUserClaimsPrincipalFactory IResourceOwnerPasswordValidator IProfileService 的实现,所以我们在代码中只要运用了如下实现后,就不需要再去实...
HttpAsync试用
z69183787的专栏
11-21 1373
pom:  4.5 4.1 org.projectlombok lombok ${lombok.version} org.apache.httpcomponents httpasyncclient
IdentityServer4与ocelot实现认证与客户端统一入口
weixin_30295091的博客
12-22 437
关于IdentityServer4与ocelot博客园里已经有很多介绍我这里就不再重复了。 ocelot与IdentityServer4组合认证博客园里也有很多,但大多使用ocelot内置的认证,而且大多都是用来认证API的,查找了很多资料也没看到如何认证oidc,所以这里的ocelot实际只是作为统一入口而不参与认证,认证的完成依然在客户端。代码是使用IdentityServer4的Quick...
asp.net core系列 57 IS4 使用混合流(OIDC+OAuth2.0)添加API访问
weixin_34080903的博客
04-18 265
一.概述   在上篇中,探讨了交互式用户身份验证,使用的是OIDC协议。 在之前篇中对API访问使用的是OAuth2.0协议。这篇把这两个部分放在一起,OpenID Connect和OAuth 2.0组合的优点在于:可以使用单个协议和令牌服务,进行单次交换来实现这两者。   上篇中使用了OpenID Connect隐式流程。在隐式流程中,所有令牌都通过浏览器传输,这对于身份令牌来说是完全正确的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值