IdentityServer4系列(05)【授权方式】

最新推荐文章于 2022-11-01 07:57:44 发布
最新推荐文章于 2022-11-01 07:57:44 发布
阅读量300 收藏
点赞数
分类专栏: IdentityServer4|OAuth2.0协议 文章标签: IdentityServer4
原文链接:https://blog.csdn.net/WuLex
版权

基于角色

验证服务器

  • 用户,添加新的claim: new Claim(JwtClaimTypes.Role, "管理员")
public class TestUsers
    {
        public static List<TestUser> Users = new List<TestUser>
        {
            new TestUser{SubjectId = "818727", Username = "alice", Password = "alice", 
                Claims = 
                {
                    new Claim(JwtClaimTypes.Name, "Alice Smith"),
                    new Claim(JwtClaimTypes.GivenName, "Alice"),
                    new Claim(JwtClaimTypes.FamilyName, "Smith"),
                    new Claim(JwtClaimTypes.Email, "AliceSmith@email.com"),
                    new Claim(JwtClaimTypes.EmailVerified, "true", ClaimValueTypes.Boolean),
                    new Claim(JwtClaimTypes.WebSite, "http://alice.com"),
                    new Claim(JwtClaimTypes.Address, @"{ 'street_address': 'One Hacker Way', 'locality': 'Heidelberg', 'postal_code': 69118, 'country': 'Germany' }", IdentityServer4.IdentityServerConstants.ClaimValueTypes.Json),
                    new Claim(JwtClaimTypes.Role, "管理员")
                }
            },
            new TestUser{SubjectId = "88421113", Username = "bob", Password = "bob", 
                Claims = 
                {
                    new Claim(JwtClaimTypes.Name, "Bob Smith"),
                    new Claim(JwtClaimTypes.GivenName, "Bob"),
                    new Claim(JwtClaimTypes.FamilyName, "Smith"),
                    new Claim(JwtClaimTypes.Email, "BobSmith@email.com"),
                    new Claim(JwtClaimTypes.EmailVerified, "true", ClaimValueTypes.Boolean),
                    new Claim(JwtClaimTypes.WebSite, "http://bob.com"),
                    new Claim(JwtClaimTypes.Address, @"{ 'street_address': 'One Hacker Way', 'locality': 'Heidelberg', 'postal_code': 69118, 'country': 'Germany' }", IdentityServer4.IdentityServerConstants.ClaimValueTypes.Json),
                    new Claim("location", "somewhere"),
                    new Claim(JwtClaimTypes.Role, "普通用户")
                }
            }
        };
    }
  • Config.cs, 添加一个IdentityResource, 添加一个scope
public static IEnumerable<IdentityResource> GetIdentityResources()
        {
            return new IdentityResource[]
            {
                new IdentityResources.OpenId(),
                new IdentityResources.Profile(),
                new IdentityResources.Address(),
                new IdentityResources.Phone(),
                new IdentityResources.Email(),
                new IdentityResource("roles","角色", new List<string>{ JwtClaimTypes.Role}) //这里的roles指scope
            };
        }
        new Client
                {
                    ClientId = "hybrid client",
                    ClientName = "ASP.NET Core Hybrid client",
                    ClientSecrets= { new Secret("hybrid_secret".Sha256())},
                    AllowedGrantTypes=GrantTypes.Hybrid,
                    RedirectUris =
                    {
                        "http://localhost:7000/signin-oidc"
                    },
                    PostLogoutRedirectUris =
                    {
                        "http://localhost:7000/signout-callback-oidc"
                    },
                    AllowOfflineAccess = true,
                    AlwaysIncludeUserClaimsInIdToken=true,
                    AllowedScopes =
                    {
                        "api1",
                        IdentityServerConstants.StandardScopes.OpenId,
                        IdentityServerConstants.StandardScopes.Profile,
                        IdentityServerConstants.StandardScopes.Address,
                        IdentityServerConstants.StandardScopes.Email,
                        IdentityServerConstants.StandardScopes.Phone,
                        "roles"
                    }
                }

web服务器

  • Startup.cs, 在cookies中配置授权失败的转向页,在OpenIdConnect中配置有关roles
services.AddAuthentication(options =>
            {
                options.DefaultScheme = CookieAuthenticationDefaults.AuthenticationScheme;
                options.DefaultChallengeScheme = OpenIdConnectDefaults.AuthenticationScheme;
            })
                .AddCookie(CookieAuthenticationDefaults.AuthenticationScheme, options => {
                    options.AccessDeniedPath = "/Authorization/AccessDenied";
                })
                .AddOpenIdConnect(OpenIdConnectDefaults.AuthenticationScheme, options =>
                {
                    options.SignInScheme = CookieAuthenticationDefaults.AuthenticationScheme;
                    options.Authority = "http://localhost:5000";
                    options.RequireHttpsMetadata = false;
                    options.ClientId = "hybrid client";
                    options.ClientSecret = "hybrid_secret";
                    options.SaveTokens = true;
                    options.ResponseType = "code id_token";
                    options.Scope.Clear();
                    options.Scope.Add("api1");
                    options.Scope.Add(OidcConstants.StandardScopes.OpenId);
                    options.Scope.Add(OidcConstants.StandardScopes.Profile);
                    options.Scope.Add(OidcConstants.StandardScopes.Email);
                    options.Scope.Add(OidcConstants.StandardScopes.Phone);
                    options.Scope.Add(OidcConstants.StandardScopes.Address);
                    options.Scope.Add(OidcConstants.StandardScopes.OfflineAccess);
                    options.Scope.Add("roles");
                    //把一些被自动过滤掉的claim找回来
                    options.ClaimActions.Remove("nbf");
                    options.ClaimActions.Remove("amr");
                    options.ClaimActions.Remove("exp");
                    //删除一些不需要的claim
                    options.ClaimActions.DeleteClaim("sid");
                    options.ClaimActions.DeleteClaim("sub");
                    options.ClaimActions.DeleteClaim("idp");
                    //有关用户的roles
                    options.TokenValidationParameters = new TokenValidationParameters
                    {
                        NameClaimType = JwtClaimTypes.Name,
                        RoleClaimType = JwtClaimTypes.Role
                    };
                });
  • 在控制器中
[Authorize(Roles = "管理员,普通用户")]

基于策略,将多个claim组合在一起

在Startup.cs中的services.AddAuthorization中配置策略

//配置策略
            services.AddAuthorization(options => {
                options.AddPolicy("SmithInSomewhere", builder => {
                    builder.RequireAuthenticatedUser();
                    builder.RequireClaim(JwtClaimTypes.FamilyName, "Smith"); //这里值可以有多个,逗号分隔
                    builder.RequireClaim("location", "somewhere"); //这个不是标准claim哦
                });
            });

这里自定义的claim叫做location,位于某个scope中,这个scope需要在services.AddAuthentication中加上。

services.AddAuthentication(options =>
            {
                options.DefaultScheme = CookieAuthenticationDefaults.AuthenticationScheme;
                options.DefaultChallengeScheme = OpenIdConnectDefaults.AuthenticationScheme;
            })
                .AddCookie(CookieAuthenticationDefaults.AuthenticationScheme, options => {
                    options.AccessDeniedPath = "/Authorization/AccessDenied";
                })
                .AddOpenIdConnect(OpenIdConnectDefaults.AuthenticationScheme, options =>
                {
                    options.SignInScheme = CookieAuthenticationDefaults.AuthenticationScheme;
                    options.Authority = "http://localhost:5000";
                    options.RequireHttpsMetadata = false;
                    options.ClientId = "hybrid client";
                    options.ClientSecret = "hybrid_secret";
                    options.SaveTokens = true;
                    options.ResponseType = "code id_token";
                    options.Scope.Clear();
                    options.Scope.Add("api1");
                    options.Scope.Add(OidcConstants.StandardScopes.OpenId);
                    options.Scope.Add(OidcConstants.StandardScopes.Profile);
                    options.Scope.Add(OidcConstants.StandardScopes.Email);
                    options.Scope.Add(OidcConstants.StandardScopes.Phone);
                    options.Scope.Add(OidcConstants.StandardScopes.Address);
                    options.Scope.Add(OidcConstants.StandardScopes.OfflineAccess);
                    options.Scope.Add("roles");
                    options.Scope.Add("locations");
                    //把一些被自动过滤掉的claim找回来
                    options.ClaimActions.Remove("nbf");
                    options.ClaimActions.Remove("amr");
                    options.ClaimActions.Remove("exp");
                    //删除一些不需要的claim
                    options.ClaimActions.DeleteClaim("sid");
                    options.ClaimActions.DeleteClaim("sub");
                    options.ClaimActions.DeleteClaim("idp");
                    //有关用户的roles
                    options.TokenValidationParameters = new TokenValidationParameters
                    {
                        NameClaimType = JwtClaimTypes.Name,
                        RoleClaimType = JwtClaimTypes.Role
                    };
                });

以上的locations这个scope需要在验证服务器上设置。

public static IEnumerable<IdentityResource> GetIdentityResources()
        {
            return new IdentityResource[]
            {
                new IdentityResources.OpenId(),
                new IdentityResources.Profile(),
                new IdentityResources.Address(),
                new IdentityResources.Phone(),
                new IdentityResources.Email(),
                new IdentityResource("roles","角色", new List<string>{ JwtClaimTypes.Role}), //这里的roles指scope
                new IdentityResource("locations","地点", new List<string>{ "location"} )
            };
        }
new Client
                {
                    ClientId = "hybrid client",
                    ClientName = "ASP.NET Core Hybrid client",
                    ClientSecrets= { new Secret("hybrid_secret".Sha256())},
                    AllowedGrantTypes=GrantTypes.Hybrid,
                    RedirectUris =
                    {
                        "http://localhost:7000/signin-oidc"
                    },
                    PostLogoutRedirectUris =
                    {
                        "http://localhost:7000/signout-callback-oidc"
                    },
                    AllowOfflineAccess = true,
                    AlwaysIncludeUserClaimsInIdToken=true,
                    AllowedScopes =
                    {
                        "api1",
                        IdentityServerConstants.StandardScopes.OpenId,
                        IdentityServerConstants.StandardScopes.Profile,
                        IdentityServerConstants.StandardScopes.Address,
                        IdentityServerConstants.StandardScopes.Email,
                        IdentityServerConstants.StandardScopes.Phone,
                        "roles",
                        "locations"
                    }
                }

更复杂的策略

  • 一个action可以有多个Policy作用
  • 一个Policy, 通过RequireAuthenticatedUser,RequireClaim, IAuthorizationRequirement生成,
  • 一个IAuthorizationRequirement中有多个AuthorizationHandler

首先需要实现IAuthorizationRequirement

public class SmithInSomewhereRequirement : IAuthorizationRequirement
    {
        public SmithInSomewhereRequirement()
        {
        }
    }

其次需要一个AuthorizationHandler

    public class SmithInSomewhereHandler : AuthorizationHandler<SmithInSomewhereRequirement>
    {
        protected override Task HandleRequirementAsync(AuthorizationHandlerContext context, SmithInSomewhereRequirement requirement)
        {
            //var filterContext = context.Resource as AuthorizationFilterContext;
            //if(filterContext==null)
            //{
            //    context.Fail();
            //    return Task.CompletedTask;
            //}
            var familyName = context.User.Claims.FirstOrDefault(c => c.Type == JwtClaimTypes.FamilyName)?.Value;
            var location = context.User.Claims.FirstOrDefault(t => t.Type == "location")?.Value;
            if(familyName == "Smith" && location == "somewhere" && context.User.Identity.IsAuthenticated)
            {
                context.Succeed(requirement);
                return Task.CompletedTask;
            }
            context.Fail();
            return Task.CompletedTask;
        }
    }

最后在startup.cs中设置:

//配置策略
services.AddAuthorization(options => {
    //options.AddPolicy("SmithInSomewhere", builder => {
    //    builder.RequireAuthenticatedUser();
    //    builder.RequireClaim(JwtClaimTypes.FamilyName, "Smith"); //这里值可以有多个,逗号分隔
    //    builder.RequireClaim("location", "somewhere"); //这个不是标准claim哦
    //});
    options.AddPolicy("SmithInSomewhere", builder => {
        builder.AddRequirements(new SmithInSomewhereRequirement());
    });
});
.NET跨平台
关注
专栏目录
IdentityServer4 定义概念
chenggong9527的博客
06-24 325
IdentityServer4 是为ASP.NET Core 2.系列量身打造的一款基于 OpenID Connect 和 OAuth 2.0 认证框架。将identityserver部署在你的应用中,具备如下的特点可以为你的应用(如网站、本地应用、移动端、服务)做集中式的登录逻辑和工作流控制。IdentityServer是完全实现了OpenID Connect协议标准。在各种类型的应用上实现单点登录登出。为各种各样的客户端颁发access token令牌,如服务与服务之间的通讯、网站应用、SPAS和本地应
IdentityServer:基于identityserver4的统一登录认证,后台权限管理
04-06
身份服务器
IdentityServer4-客户端的授权模式原理分析(三)
12-19 281
在学习其他应用场景前,需要了解几个客户端的授权模式。首先了解下本节使用的几个名词 Resource Owner:资源拥有者,文中称“user”; Client为第三方客户端; Authorization server为授权服务器; redirection URI:简单理解为取数据的地址; Use...
IdentityServer4(7)- 使用客户端认证控制API访问(客户端授权模式)
weixin_34220179的博客
09-11 260
一.前言 目前官方的文档和Demo以及一些相关组件全部是.net core 1.1的,应该是因为目前IdentityServer4目前最新版本只是2.0.0 rc1的原因,官方文档和Demo还没来更新。我准备使用的是.net core 2.0 所支持的IdentityServer4 2.0.0,官方文档及Demo只能参考,因为在asp.net core 2.0及IdentityServer4 2....
IdentityServer4系列 | 授权码模式
dotNET跨平台
12-05 1796
一、前言在上一篇关于简化模式中,通过客户端以浏览器的形式请求「IdentityServer」服务获取访问令牌,从而请求获取受保护的资源,但由于token携带在url中,安全性方面不能保证...
IdentityServer4实战:四种授权模式
u012610612的专栏
04-10 1774
前言 本篇所讲案例代码全部由上篇《IdentityServer4实战:快速入门》修改而来。 客户端模式 客户端模式只对客户端进行授权,不涉及到用户信息。如果你的api需要提供到第三方应用,第三方应用自己做用户授权,不需要用到你的用户资源,就可以用客户端模式,只对客户端进行授权访问api资源。 这是一种最简单的模式,只要client请求,我们就将AccessToken发送给它。这种模式是最方便但最不安全的模式。因此这就要求我们对client完全的信任,而client本身也是安全的 定义 Client
ABP框架之IdentityServer4分布式认证授权学习手册v1.0
06-13
IdentityServer4是ABP框架中用于实现分布式认证授权的核心组件,它是一个符合OpenID Connect和OAuth 2.0标准的认证服务器,可以为微服务架构提供安全的API访问。 1. **介绍** ABP框架与IdentityServer4的结合,...
管理系统系列--Identityserver4和Asp.net core Identity身份管理系统.zip
最新发布
02-25
本资源"管理系统系列--Identityserver4和Asp.net core Identity身份管理系统.zip"聚焦于两种强大的工具:IdentityServer4与Asp.NET Core Identity,它们是用于创建安全、可扩展的身份管理解决方案的关键组件。...
IdentityServer4深入使用(二)-- 认证与授权(下)
一只小鹰
03-22 654
原文地址:https://www.jeremyjone.com/790/,转载请注明 开始之前 上篇文章已经学习了如何认证,本篇将深入学习如何授权,如果需要继续理解认证的,包括基础认证,JWT 认证,以及如何在 .Net 项目中使用认证的,都可以看 上篇文章。 授权 授权通常是针对用户可执行的操作。在 .NET 的解决方案中,授权的使用是非常简单的。它通过 AuthorizeAttribute 和其各种参数来控制。 所有的授权都是在认证之后的,如果开启了授权,而没有提供认证方案,则会报错。 下面的代码,都
网页提示未认证授权的应用服务器,授权认证(IdentityServer4)
weixin_28695161的博客
07-31 3426
区别OpenId: Authentication :认证Oauth: Aurhorize :授权输入账号密码,QQ确认输入了正确的账号密码可以登录 --->认证下面需要勾选的复选框(获取昵称、头像、性别)----->授权OpenID当你需要访问A网站的时候,A网站要求你输入你的OpenId,即可跳转到你的OpenId服务网站,输入用户名和密码之后,再调回A网站,则认证成功。OAuth2...
IdentityServer4(客户端授权模式)
weixin_30609287的博客
11-29 551
1.新建三个项目 IdentityServer:端口5000 IdentityAPI:端口5001 IdentityClient: 2.在IdentityServer项目中添加IdentityServer4的包:Install-Package IdentityServer4 添加一个类: public static IEnumerable...
IdentityServer4授权和认证
weixin_30512043的博客
02-03 825
IdentityServer4 简称ids4 oidc了解:http://www.jessetalk.cn/2018/04/04/oidc-asp-net-core/ 是一个去中心化的网上身份认证系统,集成了认证和授权 博客园已经有很多大佬写过了。我也是跟着学,记录下学习成果 授权服务器代码: var oidc = new Client { ...
IdentityServer4实现OAuth2.0四种模式之授权码模式
dieya9314的博客
09-07 1405
接上一篇:IdentityServer4实现OAuth2.0四种模式之隐藏模式 授权码模式隐藏码模式最大不同是授权码模式不直接返回token,而是先返回一个授权码,然后再根据这个授权码去请求token。这比隐藏模式更为安全。从应用场景上来区分的话,隐藏模式适应于全前端的应用,授权码模式适用于有后端的应用,因为客户端根据授权码去请求token时是需要把客户端密码转进来的,为了避免客户端密...
使用IdentityServer4实现一个简单的Oauth2客户端模式授权
xwnxwn的专栏
10-30 325
4、好了,我们把网站启动,然后我们访问http://localhost:5000/.well-known/openid-configuration(http://localhost:5000是我的程序启动地址,可以在Program.cs文件中自己配置。.well-known/openid-configuration是程序的默认配置地址)然后返回如下内容,表明我们服务端已经没有什么问题了。8.我们先在Postman中用一个错误的token去访问,结果提示未授权
Asp.Net Core 中IdentityServer4 实战之角色授权详解
极客神殿
05-02 1611
一、前言 前几篇文章分享了IdentityServer4密码模式的基本授权及自定义授权方式,最近由于改造一个网关服务,也用到了IdentityServer4授权,改造过程中发现比较适合基于Role角色的授权,通过不同的角色来限制用户访问不同的Api资源,当时编写的时候我是使用了一个中间件来实现,想想可能基于Role角色的方式来实现会更佳,不过也只是其中一小部分适合,这里我就来分享IdentityServer4基于角色的授权详解。 没有看过之前的几篇文章,我建议先回过头看看上面那几篇文章再来看本篇文章,不
(精华)2020年9月25日 微服务 身份验证、授权(Ocelot+IdentityServer4)
热门推荐
时光隧道
09-06 45万+
if (!(Test-Path -Path $PROFILE)) { New-Item -ItemType File -Path $PROFILE -Force }
快速理解 IdentityServer4 中的认证 & 授权
dotNET跨平台
11-01 535
前言在实际的生产环境中,存在各种各样的应用程序相互访问,当用户访问app应用的时候,为了安全性考虑,通常都会要求搭配授权码或者安全令牌服务一并访问,这样可有效地对Server端的API资源起到一定程度的有效保护,大概流程如下:应用交互访问接下来我们就针对这个API 请求访问的过程进行详细的了解,那么通常会存在哪些交互模式呢?常见的交互模式在应用请求访问的过程中,最常见的交互模式有以下...
IdentityServer4 的多种模式
qq_45926015的博客
10-02 3123
英文文档 一、创建项目: 在visual Studio中创建新的项目。(如果存在包不存在的问题,需要在visual Studio中下载对应包)。 创建项目流程参考链接:ASP.NET Core3.1使用IdentityServer4实现授权登录(一) 注:此项目ASP.NET Core 3.1版本,IdentityServer 3.1.2 补充说明(一)IdentityServer配置文件Config.cs内容 public class IdpConfig { /// <sum
Asp.Net Core 中IdentityServer4 实战之 Claim详解
Jlion 技术博客
03-23 1945
一、前言 由于疫情原因,让我开始了以博客的方式来学习和分享技术(持续分享的过程也是自己学习成长的过程),同时也让更多的初学者学习到相关知识,如果我的文章中有分析不到位的地方,还请大家多多指教;以后我会持续更新我的文章,望大家多多支持和关注。 上几篇文章主要分享了IdentityServer4在Asp.Net Core 3.x 中的应用,在上面的几篇分享中有一部分博友问了我这么一个问题"他通过Ide...
ABP框架与IdentityServer4分布式认证授权实战指南
随后,手册详细解析了不同类型的授权方式,如客户端凭证授权授权码认证授权、隐式认证授权、密码认证授权以及设备认证授权。每个授权模式都包括创建Client,赋予客户端权限,以及进行授权测试的完整过程。 通过...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值