.Net Core 3.0 IdentityServer4 快速入门02

最新推荐文章于 2020-11-25 22:04:06 发布
最新推荐文章于 2020-11-25 22:04:06 发布
阅读量398 收藏
点赞数

640?wx_fmt=gif

.Net Core 3.0 IdentityServer4 快速入门

              —— resource owner password credentials(密码模式)

一、前言

  OAuth2.0默认有四种授权模式(GrantType):

    1)授权码模式

    2)简化模式

    3)密码模式(resource owner password credentials)

    4)客户端模式(client_credentials)

  上一小节 接受了 客户端模式 ,本小节将介绍 密码模式,OAuth2.0资源所有者密码授权功能允许客户端将用户名和密码发送到授权服务器,并获得该用户的访问令牌

  认证步骤:

    640?wx_fmt=png

    1)用户将用户名和密码提供给客户端

    2)客户端再将用户名和密码发送给授权服务器(Id4)请求令牌

    3)授权服务器(Id4)验证用户的有效性,返回给客户端令牌

    4)Api资源收到第一个(首次)请求之后,会到授权服务器(Id4)获取公钥,然后用公钥验证Token是否合法,如果合法将进行后面的有效性验证,后面的请求都会用首次请求的公钥来验证(jwt去中心化验证的思想)

    Resource Owner 其实就是User,密码模式相较于客户端模式,多了一个参与者,就是User,通过User的用户名和密码向Identity Server 申请访问令牌,这种模式下要求客户端不得存储密码,但我们并不能确保客户端是否存储了密码,所以该模式仅仅适用于受信任的客户端。因此该模式不推荐使用

二、创建授权服务器

  640?wx_fmt=png

   1)安装Id4  

640?wx_fmt=png 

  2)创建一个Config类模拟配置要保护的资源和可以访问的api客户端服务器

using IdentityServer4;	
using IdentityServer4.Models;	
using IdentityServer4.Test;	
using System.Collections.Generic;	

	
namespace IdentityServer02	
{	
    public static class Config	
    {	
        /// <summary>	
        /// 需要保护的api资源	
        /// </summary>	
        public static IEnumerable<ApiResource> Apis =>	
            new List<ApiResource>	
            {	
                new ApiResource("api1","My Api")	
            };	
        public static IEnumerable<Client> Clients =>	
            new List<Client>	
            {	
                //客户端	
                new Client	
                {	
                    ClientId="client",	
                    ClientSecrets={ new Secret("aju".Sha256())},	
                    AllowedGrantTypes=GrantTypes.ResourceOwnerPassword,	
                    //如果要获取refresh_tokens ,必须在scopes中加上OfflineAccess	
                    AllowedScopes={ "api1", IdentityServerConstants.StandardScopes.OfflineAccess},	
                    AllowOfflineAccess=true	
                }	
            };	

	
        public static List<TestUser> Users = new List<TestUser>	
        {	
            new TestUser	
            {	
                SubjectId="001",	
                Password="Aju_001",	
                Username="Aju_001"	
            },	
            new TestUser	
            {	
                 SubjectId="002",	
                Password="Aju_002",	
                Username="Aju_002"	
            }	
        };	
    }	
}

与客户端模式不一致的地方就在于(AllowedGrantTypes=GrantTypes.ResourceOwnerPassword)此处设置为资源所有者(密码模式)

  3)配置StartUp

using Microsoft.AspNetCore.Builder;	
using Microsoft.AspNetCore.Hosting;	
using Microsoft.Extensions.DependencyInjection;	
using Microsoft.Extensions.Hosting;	

	
namespace IdentityServer02	
{	
    public class Startup	
    {	
        // This method gets called by the runtime. Use this method to add services to the container.	
        // For more information on how to configure your application, visit https://go.microsoft.com/fwlink/?LinkID=398940	
        public void ConfigureServices(IServiceCollection services)	
        {	
            var builder = services.AddIdentityServer()	
                .AddInMemoryApiResources(Config.Apis)	
                .AddInMemoryClients(Config.Clients)	
                .AddTestUsers(Config.Users);19             builder.AddDeveloperSigningCredential();	
        }	

	
        // This method gets called by the runtime. Use this method to configure the HTTP request pipeline.	
        public void Configure(IApplicationBuilder app, IWebHostEnvironment env)	
        {	
            if (env.IsDevelopment())	
            {	
                app.UseDeveloperExceptionPage();	
            }	
            // app.UseRouting();	
            app.UseIdentityServer();	
        }	
    }	
}

5)验证配置是否成功

  在浏览器中输入(http://localhost:5000/.well-known/openid-configuration)看到如下发现文档算是成功的

640?wx_fmt=png

 三、创建Api资源

  1)步骤如创建授权服务的1)

  2)安装包

640?wx_fmt=png

   3)创建一个受保护的ApiController

using Microsoft.AspNetCore.Authorization;	
using Microsoft.AspNetCore.Mvc;	
using System.Linq;	

	
namespace Api02.Controllers	
{	
    [Route("Api")]	
    [Authorize]	
    public class ApiController : ControllerBase	
    {	
        public IActionResult Get()	
        {	
            return new JsonResult(from c in User.Claims select new { c.Type, c.Value });	
        }	
    }	
}

4)配置StartUp

using Microsoft.AspNetCore.Builder;	
using Microsoft.AspNetCore.Hosting;	
using Microsoft.Extensions.Configuration;	
using Microsoft.Extensions.DependencyInjection;	
using Microsoft.Extensions.Hosting;	

	
namespace Api02	
{	
    public class Startup	
    {	
        public Startup(IConfiguration configuration)	
        {	
            Configuration = configuration;	
        }	

	
        public IConfiguration Configuration { get; }	

	
        // This method gets called by the runtime. Use this method to add services to the container.	
        public void ConfigureServices(IServiceCollection services)	
        {	
            services.AddControllers();	
            services.AddAuthentication("Bearer").AddJwtBearer("Bearer", options =>	
            {	
                options.Authority = "http://localhost:5000";	
                options.RequireHttpsMetadata = false;	
                options.Audience = "api1";	
            });	
        }	

	
        // This method gets called by the runtime. Use this method to configure the HTTP request pipeline.	
        public void Configure(IApplicationBuilder app, IWebHostEnvironment env)	
        {	
            if (env.IsDevelopment())	
            {	
                app.UseDeveloperExceptionPage();	
            }	

	
            app.UseRouting();	

	
            app.UseAuthentication();//认证	
            app.UseAuthorization();//授权	

	

	
            app.UseEndpoints(endpoints =>	
            {	
                endpoints.MapControllers();	
            });	
        }	
    }	
}

四、创建客户端(控制台 模拟客户端)

using IdentityModel.Client;	
using Newtonsoft.Json.Linq;	
using System;	
using System.Net.Http;	
using System.Threading.Tasks;	

	
namespace Client02	
{	
    class Program	
    {	
        static async Task Main(string[] args)	
        {	
            // Console.WriteLine("Hello World!");	
            var client = new HttpClient();	
            var disco = await client.GetDiscoveryDocumentAsync("http://localhost:5000");	
            if (disco.IsError)	
            {	
                Console.WriteLine(disco.Error);	
                return;	
            }	
            var tokenResponse = await client.RequestPasswordTokenAsync(	
                new PasswordTokenRequest	
                {	
                    Address = disco.TokenEndpoint,	
                    ClientId = "client",	
                    ClientSecret = "aju",	
                    Scope = "api1 offline_access",	
                    UserName = "Aju",	
                    Password = "Aju_password"	
                });	
            if (tokenResponse.IsError)	
            {	
                Console.WriteLine(tokenResponse.Error);	
                return;	
            }	
            Console.WriteLine(tokenResponse.Json);	
            Console.WriteLine("\n\n");	
            //call api	
            var apiClient = new HttpClient();	
            apiClient.SetBearerToken(tokenResponse.AccessToken);	
            var response = await apiClient.GetAsync("http://localhost:5001/api");	
            if (!response.IsSuccessStatusCode)	
            {	
                Console.WriteLine(response.StatusCode);	
            }	
            else	
            {	
                var content = await response.Content.ReadAsStringAsync();	
                Console.WriteLine(JArray.Parse(content));	
            }	
            Console.ReadLine();	
        }	
    }	
}

五、验证

  1)直接获取Api资源

640?wx_fmt=png

  出现了401未授权提示,这就说明我们的Api需要授权

  2)运行客户端访问Api资源

640?wx_fmt=png

六、自定义用户验证

  在创建授权服务器的时候我们在Config中默认模拟(写死)两个用户,这显得有点不太人性化,那我们就来自定义验证用户信息

  1)创建 自定义 验证 类 ResourceOwnerValidator 

using IdentityModel;	
using IdentityServer4.Models;	
using IdentityServer4.Validation;	
using System.Threading.Tasks;	

	
namespace IdentityServer02	
{	
    public class ResourceOwnerValidator : IResourceOwnerPasswordValidator	
    {	
        public Task ValidateAsync(ResourceOwnerPasswordValidationContext context)	
        {	
            if (context.UserName == "Aju" && context.Password == "Aju_password")	
            {	
                context.Result = new GrantValidationResult(	
                    subject: context.UserName,	
                    authenticationMethod: OidcConstants.AuthenticationMethods.Password);	
            }	
            else	
            {	
                context.Result = new GrantValidationResult(TokenRequestErrors.InvalidGrant, "无效的秘钥");	
            }	
            return Task.FromResult("");	
        }	
    }	
}

2)在授权服务器StartUp配置类中,修改如下:

  640?wx_fmt=png

    3)在客户端中将 用户名 和 密码 修改成 我们在自定义 用户 验证类 中写的用户名和密码,进行测试

七、通过refresh_token 获取 Token

  1)refresh_token 

    获取请求授权后会返回 access_token、expire_in、refresh_token 等内容,每当access_token 失效后用户需要重新授权,但是有了refresh_token后,客户端(Client)检测到Token失效后可以直接通过refresh_token向授权服务器申请新的token

640?wx_fmt=png

八、参考文献

  http://docs.identityserver.io/en/latest/index.html

640?wx_fmt=jpeg

hailang2ll
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
.Net ID4集合( 单点,redis ,Autofac,微服务)
Code365
06-24 919
在本文中,我们将介绍如何使用 Identity Server4 和 Redis 实现身份验证和访问控制。Identity Server4 是一个功能丰富、灵活且可扩展的开源身份验证和授权解决方案,而 Redis 是一个高性能的内存数据库,可用于存储和管理用户会话。IdentityServer4 是为Core系列量身打造的一款基于 OpenID Connect 和 OAuth 2.0 认证授权框架。
.net core IDEntityServer4客户端模式(Client Credentials)
07-27
IdentityServer4客户端模式(Client Credentials),项目分为身份授权服务、客户端、被访问资源。客户端通过密钥向授权服务器请求AccessToken,客户端携带AccessToken向有身份验证的资源获取数据。
.net Core IdentityServer4 Server
11-04
.net Core IdentityServer4 Server 实现,使用SQL作为数据存储
.Net Core 3.0 IdentityServer4 快速入门
Z875983491的专栏
10-24 583
.Net Core 3.0 IdentityServer4 快速入门 一、简介   IdentityServer4是用于ASP.NET Core的OpenID Connect和OAuth 2.0框架。   将IdentityServer4部署到您的应用中具备如下特点:   1)、认证服务   2)、单点登陆   3)、API访问控制   4)、联合网关   5)、专注于定制   ...
IdentityServer4在Asp.Net Core中的应用(一)
Allec Cui的博客
03-28 7611
    IdentityServer4是一套身份授权以及访问控制的解决方案,专注于帮助使用.Net 技术的公司为现代应用程序建立标识和访问控制解决方案,包括单点登录、身份管理、授权和API安全。    下面我将具体介绍如何在.Net Core中实现OAuth授权,从最简单的授权模式开始,在上一篇对OAuth2.0的详细描述中,在客户端模式中,我们说它在严格意义上讲是不存在授权的问题,我们再来看下它...
.net core 3.1 IdentityServer4单点登陆
10-09
.NET Core 3.1 和 IdentityServer4 是现代Web应用程序中实现安全身份验证和授权的关键组件。IdentityServer4 是一个开源的身份提供者,符合OpenID Connect和OAuth2规范,用于构建可扩展、高性能的身份验证和授权服务...
.net core 3.1 IdentityServer4 客户端凭据模式
05-22
.NET Core 3.1框架下,IdentityServer4是一个强大的身份认证服务器,它遵循开放授权标准,如OAuth2和OpenID Connect。客户端凭据模式(Client Credentials Grant)是OAuth2授权类型之一,常用于服务器之间的身份...
asp.net core 3.0中使用swagger的方法与问题
10-16
主要给大家介绍了关于asp.net core 3.0中使用swagger的方法与遇到的一些问题,文中通过示例代码介绍的非常详细,对大家的学习或者使用asp.net core 3.0具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧
01、ASP.NET Core 3.0 入门视频.7z
04-11
4. **依赖注入**:ASP.NET Core 3.0强化了依赖注入(Dependency Injection,DI),这是实现松耦合和可测试代码的关键。学习者会学习如何注册服务并注入到控制器或其他类中。 5. **MVC模式**:讲解Model-View-...
IdentityServer4-Demo:Asp.Net Core 2.2使用IdentityServer4的用户名密码模式保护资源服务器的原型
03-23
1. **安装依赖包**: 首先,你需要在项目中安装 `IdentityServer4` 和 `IdentityServer4.AspNetIdentity` NuGet 包,这两个包提供了核心服务和 Asp.Net Core 用户身份验证支持。 2. **配置 IdentityServer**: 在 `...
Asp.Net Core IdentityServer4 管理面板集成
hailang2ll的专栏
02-21 698
前言 IdentityServer4(以下简称 Id4) 是 Asp.Net Core 中一个非常流行的 OpenId Connect 和 OAuth 2.0 框架,可以轻松...
带有.NET Core App的Identity Server 4
寒冰屋的专栏
11-25 481
什么是Identity ServerIdentity Server 4(IdS4)是用于.NET Core应用程序的OpenID Connect和OAuth 2.0框架。它是一种身份验证服务,可为您提供针对不同类型的应用程序(Web、移动或服务)的集中式身份验证逻辑。 在ASP.NET Core Web App中实现IdS4 首先,您需要使用以下命令创建一个空的ASP.NET Core Web应用程序: dotnet new web 或者,您可以通过使用空模板选择ASP.NET Co...
IdentityServer3 v1文档
weixin_30566149的博客
07-23 757
IdentityServer3 目录 目录 1 第一章IdentityServer31.x 5 v超链接 5 Ø概述 5 Ø配置 5 Ø端点 5 Ø先进的 5 Ø实体框架支持客户、范围和操作数据 6 Øws-federation 6 Ø资源 6 第二章概述 6 v大局 6 v术语 7 vOpenID提供者连接(凤凰社) 8 v客户端...
基于 IdentityServer3 实现 OAuth 2.0 授权服务【客户端模式(Client Credentials Grant)】
weixin_33768481的博客
07-26 331
github:https://github.com/IdentityServer/IdentityServer3/ documentation:https://identityserver.github.io/Documentation/ samples https://github.com/IdentityServer/IdentityServer3.Sampl...
一个功能完备的.NET开源OpenID Connect/OAuth 2.0框架——IdentityServer3
weixin_33860528的博客
04-22 196
今天推荐的是我一直以来都在关注的一个开源的OpenID Connect/OAuth 2.0服务框架——IdentityServer3。其支持完整的OpenID Connect/OAuth 2.0标准,使用它就可以轻易地搭建一个单点登录服务器。 说是一直关注,是因为1年前,要为一个平台搭建一个OAuth 2.0服务器,当时由于IdentityServer3还处于开发阶段,核心还不稳定,扩展功能也不...
ASP.NET Core的身份认证框架IdentityServer4--入门【转】
weixin_30521161的博客
08-10 738
原文地址 Identity Server 4是IdentityServer的最新版本,它是流行的OpenID Connect和OAuth Framework for .NET,为ASP.NET Core.NET Core进行了更新和重新设计。在本文中,我们将快速了解IdentityServer 4存在的原因,然后直接进入并创建一个从零到英雄的工作实现。 IdentityServer 3与Id...
IdentityServer(15)- 第三方快速入门和示例
weixin_33816611的博客
12-26 244
这些示例不由IdentityServer团队维护。 IdentityServer团队提供链接到了社区示例,但不能对示例做任何保证。 如有问题,请直接与作者联系。 各种ASP.NET Core安全示例 https://github.com/leastprivilege/AspNetCoreSecuritySamples IdentityServer4 EF 和 ASP.NET Identity AS...
.NET Core 3.0 指南:安装与入门教程
.NET Core 3.0 指南”是针对微软的开源跨平台开发框架 .NET Core 的详细教程,主要涵盖了该框架的基础知识、安装过程、新特性以及各种开发工具的使用方法。这份指南特别强调了 .NET Core 3.0 版本的新功能,同时也...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值