.Net Core 3.0 IdentityServer4 快速入门

最新推荐文章于 2024-07-16 22:39:52 发布
最新推荐文章于 2024-07-16 22:39:52 发布
阅读量530 收藏
点赞数

640?wx_fmt=gif

一、简介

  IdentityServer4是用于ASP.NET Core的OpenID Connect和OAuth 2.0框架。

  将IdentityServer4部署到您的应用中具备如下特点:

  1)、认证服务

  2)、单点登陆

  3)、API访问控制

  4)、联合网关

  5)、专注于定制

  6)、成熟的开源系统

  7)、免费和商业支持

二、整体部署

640?wx_fmt=png

 

  目前大多数的应用程序或多或少看起来是上图所示这样的,最常见的交互场景有(浏览器与Web应用程序、Web应用程序与WebApi通讯、本地应用程序狱WebApi通讯、基于浏览器的应用程序与WebApi 通讯、基本服务器的应用程序与WebApi通讯、WebApi与WebApi通讯)

  前端、中间层、后端各个层级为了保护资源经常要针对相同的用户仓储区实现身份认证和授权,但是如果我们把这些基本的安全功能统一颁发给一个安全令牌服务,就可以不必再让这些应用和端点之间重复实现这些基础安全功能,重组应用程序以支持安全令牌服务将会引导出以下体系结构和协议

640?wx_fmt=png

 

  这样的设计将会把安全问题分为两个部分:(身份验证和API访问)

三、IdentityServer4如何提供帮助

  IdentityServer是将规范兼容的OpenID Connect和OAuth 2.0端点添加到任意ASP.NET Core应用程序的中间件。通常,您构建(或重新使用)包含登录和注销页面的应用程序,IdentityServer中间件会向其添加必要的协议头,以便客户端应用程序可以与其对话 使用这些标准协议。640?wx_fmt=png

 

四、术语

 640?wx_fmt=png

     1)、Users(用户):用户是使用已注册的客户端访问资源的人

     2)、Clients(客户端):客户端就是从identityserver请求令牌的软件(你可以理解为一个app即可),既可以通过身份认证令牌来验证识别用户身份,又可以通过授权令牌来访问服务端的资源。但是客户端首先必须在申请令牌前已经在identityserver服务中注册过。实际客户端不仅可以是Web应用程序,app或桌面应用程序(你就理解为pc端的软件即可),SPA,服务器进程等

  3)、Resources(资源):

  资源就是你想用identityserver保护的东东,可以是用户的身份数据或者api资源。

  用户的身份信息实际由一组claim组成,例如姓名或者邮件都会包含在身份信息中(将来通过identityserver校验后都会返回给被调用的客户端)。

  API资源就是客户端想要调用的功能(通常以json或xml的格式返回给客户端,例如webapi,wcf,webservice),通常通过webapi来建立模型,但是不一定是webapi,我刚才已经强调可以使其他类型的格式,这个要看具体的使用场景了。

  4)、Identity Token(身份令牌):

  一个身份令牌指的就是对认证过程的描述。它至少要标识某个用户(Called the sub aka subject claim)的主身份信息,和该用户的认证时间和认证方式。但是身份令牌可以包含额外的身份数据,具体开发者可以自行设定,但是一般情况为了确保数据传输的效率,开发者一般不做过多额外的设置,大家也可以根据使用场景自行决定。

  5)、Access Token(访问令牌):

   访问令牌允许客户端访问某个 API 资源。客户端请求到访问令牌,然后使用这个令牌来访问 API资源。访问令牌包含了客户端和用户(如果有的话,这取决于业务是否需要,但通常不必要)的相关信息,API通过这些令牌信息来授予客户端的数据访问权限。

五、代码快速入门 (使用客户端凭据保护)

  1)、IdentityServer

640?wx_fmt=png

     a)、定义Api资源和客户端

      Api 是您系统中要保护的资源,资源的定义可以通过多种方式

      客户端代码中的ClientId和ClientSecret你可以视为应用程序本身的登录名和密码,它将您的应用程序标识到IdentityServer 服务器,以便它知道哪个应用程序正在尝试与其连接

using IdentityServer4.Models;	
using System.Collections.Generic;	

	
namespace IdentityServer	
{	
    public static class Config	
    {	
        public static IEnumerable<ApiResource> Apis	
            => new List<ApiResource>	
        {	
            new ApiResource("api1","My API")	
        };	

	
        public static IEnumerable<Client> Clients =>	
            new List<Client>	
            {	
                new Client	
                {	
                    ClientId="client",	
                    AllowedGrantTypes =GrantTypes.ClientCredentials,	
                    ClientSecrets={	
                    new Secret("aju".Sha256())	
                    },	
                    AllowedScopes={ "api1"}	
                }	
            };	
    }	
}

        b)、配置IdentityServer

using Microsoft.AspNetCore.Builder;	
using Microsoft.AspNetCore.Hosting;	
using Microsoft.Extensions.DependencyInjection;	
using Microsoft.Extensions.Hosting;	

	
namespace IdentityServer	
{	
    public class Startup	
    {	
        // This method gets called by the runtime. Use this method to add services to the container.	
        // For more information on how to configure your application, visit https://go.microsoft.com/fwlink/?LinkID=398940	
        public void ConfigureServices(IServiceCollection services)	
        {	
            var builder = services.AddIdentityServer()	
                .AddInMemoryApiResources(Config.Apis)	
                .AddInMemoryClients(Config.Clients);	
            builder.AddDeveloperSigningCredential();	
        }	

	
        // This method gets called by the runtime. Use this method to configure the HTTP request pipeline.	
        public void Configure(IApplicationBuilder app, IWebHostEnvironment env)	
        {	
            if (env.IsDevelopment())	
            {	
                app.UseDeveloperExceptionPage();	
            }	

	
            app.UseIdentityServer();	

	
            //app.UseRouting();	

	
            //app.UseEndpoints(endpoints =>	
            //{	
            //    endpoints.MapGet("/", async context =>	
            //    {	
            //        await context.Response.WriteAsync("Hello World!");	
            //    });	
            //});	
        }	
    }	
}

        c)、测试(如果配置合适,在浏览器访问 http://localhost:5000/.well-known/openid-configuration  出现如下表示配置OK)

640?wx_fmt=png

首次启动时,IdentityServer将为您创建一个开发人员签名密钥,该文件名为tempkey.rsa。您无需将该文件签入源代码管理中,如果不存在该文件将被重新创建。

    d)、所需的包

640?wx_fmt=png

  2)、添加Api资源

      a)、添加一个名为IdentityController的控制器

using Microsoft.AspNetCore.Authorization;	
using Microsoft.AspNetCore.Mvc;	
using System.Linq;	

	
namespace Api.Controllers	
{	
    [Route("identity")]	
    [Authorize]	
    public class IdentityController : ControllerBase	
    {	
        public IActionResult Get()	
        {	
            return new JsonResult(from c in User.Claims select new { c.Type, c.Value });	
        }	
    }	
}

        b)、配置(将身份认证服务添加到DI,并将身份验证中间件添加到管道)    

using Microsoft.AspNetCore.Builder;	
using Microsoft.AspNetCore.Hosting;	
using Microsoft.Extensions.Configuration;	
using Microsoft.Extensions.DependencyInjection;	
using Microsoft.Extensions.Hosting;	

	
namespace Api	
{	
    public class Startup	
    {	
        public Startup(IConfiguration configuration)	
        {	
            Configuration = configuration;	
        }	

	
        public IConfiguration Configuration { get; }	

	
        // This method gets called by the runtime. Use this method to add services to the container.	
        public void ConfigureServices(IServiceCollection services)	
        {	
            services.AddControllers();	
            services.AddAuthentication("Bearer").AddJwtBearer("Bearer", options =>	
            {	
                options.Authority = "http://localhost:5000";	
                options.RequireHttpsMetadata = false;	
                options.Audience = "api1";	
            });	
        }	

	
        // This method gets called by the runtime. Use this method to configure the HTTP request pipeline.	
        public void Configure(IApplicationBuilder app, IWebHostEnvironment env)	
        {	
            if (env.IsDevelopment())	
            {	
                app.UseDeveloperExceptionPage();	
            }	

	
            app.UseRouting();	

	
            app.UseAuthentication();//认证	
            app.UseAuthorization();//授权	

	

	
            app.UseEndpoints(endpoints =>	
            {	
                endpoints.MapControllers();	
            });	
        }	
    }	
}

        AddAuthentication:将身份认证服务添加到DI比配置Bearer为默认

   AddAuthentication:将身份认证服务添加到管道中,以便对主机的每次调用都将自动执行身份验证

   AddAuthentication:添加授权中间件,以确保匿名客户端无法访问我们的API资源

   http://localhost:5001/identity 在浏览器上访问应返回401状态代码。这意味着您的API需要凭据,并且现在受IdentityServer保护。

          c)、所需的包640?wx_fmt=png

3)、创建客户端(已控制台的形式)

using IdentityModel.Client;	
using Newtonsoft.Json.Linq;	
using System;	
using System.Net.Http;	
using System.Threading.Tasks;	

	
namespace Client	
{	
    class Program	
    {	
        static async Task Main(string[] args)	
        {	
            // Console.WriteLine("Hello World!");	
            var client = new HttpClient();	
            var disco = await client.GetDiscoveryDocumentAsync("http://localhost:5000");	
            if (disco.IsError)	
            {	
                Console.WriteLine(disco.Error);	
                return;	
            }	
            var tokenResponse = await client.RequestClientCredentialsTokenAsync(new ClientCredentialsTokenRequest	
            {	
                Address = disco.TokenEndpoint,	
                ClientId = "client",	
                ClientSecret = "aju",	
                Scope = "api1"	
            });	
            if (tokenResponse.IsError)	
            {	
                Console.WriteLine(tokenResponse.Error);	
                return;	
            }	
            Console.WriteLine(tokenResponse.Json);	
            Console.WriteLine("\n\n");	
            //call api	

	
            var apiClient = new HttpClient();	
            apiClient.SetBearerToken(tokenResponse.AccessToken);	
            var response = await apiClient.GetAsync("http://localhost:5001/identity");	
            if (!response.IsSuccessStatusCode)	
            {	
                Console.WriteLine(response.StatusCode);	
            }	
            else	
            {	
                var content = await response.Content.ReadAsStringAsync();	
                Console.WriteLine(JArray.Parse(content));	
            }	
            Console.ReadLine();	
        }	
    }	
}

        a)、所需的包  

640?wx_fmt=png

 4)、使用客户端访问Api资源  

640?wx_fmt=png

六、参考文献

  http://docs.identityserver.io/en/latest/index.html

640?wx_fmt=jpeg

hailang2ll
关注
.net Core IdentityServer4 Server
11-04
.net Core IdentityServer4 Server 实现,使用SQL作为数据存储
基于.NET Core 3.0IdentityServer4的学习项目.zip
最新发布
08-22
项目工程资源经过严格测试可直接运行成功且功能正常的情况才上传,可轻松copy复刻,拿到资料包后可轻松复现出一样的项目,本人系统开发经验充足(全栈开发),有任何使用问题欢迎随时与我联系,我会及时为您解惑,...
ASP.NET Core IdentityServer4 介绍和实际应用
战族狼魂的博客
07-16 921
ASP.NET Core IdentityServer4 是一个开源的身份验证和授权框架,它基于ASP.NET Core构建,并且集成了OpenID Connect和OAuth 2.0标准。认证即服务:IdentityServer4 提供了一个集中的登录逻辑和工作流程,适用于所有类型的应用程序,包括Web应用、原生应用、移动应用和服务。单点登录/注销:多个类型的应用程序可以在一个点进行登录和注销操作,提高了用户体验和安全性。API 访问控制。
.NET Core IdentityServer4实战-开篇介绍与规划
qq_39110534的博客
01-26 1113
.NET Core IdentityServer4实战-开篇介绍与规划 一.开篇寄语   由于假期的无聊,我决定了一个非常有挑战性的活动,也就是在年假给大家带来一个基于OAuth 2.0的身份授权框架,它就是 IdentityServer4 ,如果没有意外的话,一定可以顺利的写完的,如果两天写一篇的话!如果觉得期待的话,可以点个收藏,当然如果...
.Net Core 3.0 IdentityServer4 快速入门02
dotNET跨平台
10-27 424
.Net Core 3.0 IdentityServer4 快速入门              ——resource owner password credential...
IdentityServer4 (IDS4) 快速入门
zhujisoft的专栏
05-04 4万+
一、系统环境 win10 C:\Users\zhoujy>dotnet --version 5.0.102 IdentityServer4 4.0.0 Microsoft Visual Studio Community 2019 版本 16.8.4 二、IdentityServer4 基本原理 1、当前应用程序大多数情况下,如下图的模式 最常见的交互是: 浏览器与Web应用程序通信 Web应用程序与Web API通信(有时是独立的,有时是代表用户的) 基于浏览器的应用程序与.
.net core 3.1 IdentityServer4单点登陆
10-09
.NET Core 3.1 和 IdentityServer4 是现代Web应用程序中实现安全身份验证和授权的关键组件。IdentityServer4 是一个开源的身份提供者,符合OpenID Connect和OAuth2规范,用于构建可扩展、高性能的身份验证和授权服务...
IdentityServer4-Demo:Asp.Net Core 2.2使用IdentityServer4的用户名密码模式保护资源服务器的原型
03-23
1. **安装依赖包**: 首先,你需要在项目中安装 `IdentityServer4` 和 `IdentityServer4.AspNetIdentity` NuGet 包,这两个包提供了核心服务和 Asp.Net Core 用户身份验证支持。 2. **配置 IdentityServer**: 在 `...
.net core 3.0.x 官方简体中文语言包,开发智能提示中文
12-21
.NET Core 3.0.x 官方简体中文语言包是微软为开发者提供的一款关键工具,主要用于提升在.NET Core 3.0开发环境中的用户体验,特别是对于那些使用中文作为主要工作语言的开发者而言。该语言包包含了开发智能提示的...
.NET Core 3.0 可回收程序集加载上下文的实现
10-16
.NET Core 3.0 引入了一个重要的新特性——可回收程序集加载上下文(Collectible AssemblyLoadContext),这是对之前.NET Framework AppDomain概念的一种改进。AppDomain在.NET Framework中被用于加载和卸载程序集,...
ASP.NET Core 3接入使用IdentityServer4 授权中心
06-04
代码包含三部分, 1.IdentityServer4 授权中心 2.API服务提供者 3.第三方ClientCredential调用者
.net core IDEntityServer4客户端模式(Client Credentials)
07-27
IdentityServer4客户端模式(Client Credentials),项目分为身份授权服务、客户端、被访问资源。客户端通过密钥向授权服务器请求AccessToken,客户端携带AccessToken向有身份验证的资源获取数据。
IdentityServer4实战:快速入门
u012610612的专栏
04-10 570
项目结构 首先创建3个项目,这3个项目将做为我们学习 IdentityServer4 的基础项目,项目框架全部使用 .NET CORE 3.1。 端口约定如下: MicroShell.IdentityServer4.Server : 5000 MicroShell.IdentityServer4.Api : 5001 MicroShell.IdentityServer4.Mvc : 5002 搭建 IdentityServer4 认证中心 添加依赖包 在项目 MicroShell..
ASP.NET Core:使用IdentityServer构建可靠的身份验证和授权系统
寒冰屋的专栏
10-25 1113
目录 OAuth 2.0到底是什么? 为什么使用OpenID Connect? 向IdentityServer打个招呼!???? Hello World程序 设置中央身份验证系统所需的步骤——从1000英尺开始查看 从头开始设置身份验证服务器 构建一个MVC应用 设置一个Angular应用 最后的话 资源资源 在本文中,我们将看到使用Identity Server进行身份验证和授权的奇怪情况。我们将介绍OAuth 2.0和OpenID Connect等花哨的术语。本文的目的是指导您完成
(精华)2020年11月21日 .NET Core 配置IdentityServer4
热门推荐
时光隧道
11-21 21万+
一:初识IdentityServer4 1:添加nuget包:IdentityServer4 2:添加Config.cs文件作为IdentityServer配置文件,用于定义IdentityServer资源和客户端等。 public class Config { public static IEnumerable<ApiScope> ApiScopes => new List<ApiScope> { new ApiS
.net core 3.0 搭建 IdentityServer4 验证服务器
swjian1997的博客
01-10 1561
叙述   最近在搞IdentityServer4 API接口认证部分,由于之前没有接触过 IdentityServer4于是在网上一顿搜搜搜,由于自己技术水平也有限,看了好几篇文章才搞懂,想通过博客方式整理一下同时也希望帮到刚了解 IdentityServer4的小伙伴。   在搭建 IdentityServer4之前,需要了解以下几个概念。 OpenId OpenID 是...
记录IdentityServer4.net core3.1上的使用 (一)
baidu_38845827的博客
12-14 1013
IdentityServer4.net core上不同的版本上的使用方式有微小的差别,我在网上找了一些文章,按照他们的写总有问题,有些是因为.net core版本的问题 有些是因为IdentityServer4的dll版本的问题 不过总算是东找西找,实现了功能 这篇文章先写通过Token获取资源 写两个项目 一个是api的项目,一个是IdentityServer的项目,在api的项目里使用IdentityServer中间件,受保护的方法需要向先IdentityServer项目获取Token,然后...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值