ASP.NET Core实现OpenID Connect用户认证、授权

最新推荐文章于 2024-05-11 15:42:44 发布
最新推荐文章于 2024-05-11 15:42:44 发布
阅读量3k 收藏 6
点赞数 1
分类专栏: ASP.NET 文章标签: OIDC .NET Core OpenID Connect OAuth 用户认证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lweiyue/article/details/108236416
版权

在前面的文章中,我们讲述了ASP.NET实现OAuth2.0的四种模式。那在.NET Core中怎么实现呢?如果使用前面的方法,你会发现是行不通的,.NET Core的架构已经改变了。

在讲述认证之前,我们需要先了解一个新的协议:OpenID Connect。它基于OAuth2.0协议,增加了OpenID这个概念,使用起来会更加简便。本文不对这个协议展开分析,有兴趣的读者请参阅其他资料。在ASP.NET Core中,我们使用IdentityServer4这个开源库实现用户认证和授权的功能。

一、实现用户认证的四种模式

1.1 项目准备

在前面的文章中,我们讲到认证服务过程中有四种角色,其中有两个是认证服务器和资源服务器。我们先实现认证服务器。

1、新建一个ASP.NET Core Web应用程序,后面的页面选择“空”即可。

2、添加NuGet程序包:IdentityServer4。

3、打开launchSettings.json,修改URL为localhost:5001,如下所示:

{
  "profiles": {
    "SelfHost": {
      "commandName": "Project",
      "launchBrowser": true,
      "environmentVariables": {
        "ASPNETCORE_ENVIRONMENT": "Development"
      },
      "applicationUrl": "https://localhost:5001"
    }
  }
}

4、新建一个名为Config的类,用来存放一些认证的资源(实际会通过查数据库的方法去做):

public static class Config
{
    public static IEnumerable<IdentityResource> IdentityResources =>
        new IdentityResource[]
        {
            new IdentityResources.OpenId()
        };

    public static IEnumerable<ApiScope> ApiScopes =>
        new ApiScope[]
        {
        };

    public static IEnumerable<Client> Clients =>
        new Client[]
        {
        };

    public static List<TestUser> Users =>
        new List<TestUser>()
        {
        };
}

其中,IdentityResources存放认证资源,包括OpenID(必须)、Profile(用户名、邮箱、手机等)。ApiScopes相当于访问API的权限,例如可不可以获取照片,可不可以写入等。Clients是允许访问的客户端的定义。Users是允许访问的用户。

5、修改Startup.cs,如下:

public class Startup
{
    public IWebHostEnvironment Environment { get; }

    public Startup(IWebHostEnvironment environment)
    {
        Environment = environment;
    }

    public void ConfigureServices(IServiceCollection services)
    {
        var builder = services.AddIdentityServer()
            .AddInMemoryIdentityResources(Config.IdentityResources)
            .AddInMemoryApiScopes(Config.ApiScopes)
            .AddInMemoryClients(Config.Clients)//在客户端模式中使用
            .AddTestUsers(Config.Users);//在密码模式中使用

        // not recommended for production - you need to store your key material somewhere secure
        builder.AddDeveloperSigningCredential();
    }

    public void Configure(IApplicationBuilder app)
    {
        app.UseIdentityServer();
    }
}

1.2 客户端模式

要实现客户端模式,要做的事情很简单,只需要修改Config.cs即可。

首先,我们定义一个权限,添加到ApiScopes中:

public static IEnumerable<ApiScope> ApiScopes =>
    new ApiScope[]
    {
        new ApiScope("scope1")
    };

然后,我们增加一个允许以客户端模式访问的Client,如下所示:

public static IEnumerable<Client> Clients =>
    new Client[]
    {
        new Client
        {
            ClientId = "client1",
            AllowedGrantTypes = GrantTypes.ClientCredentials,
            ClientSecrets = { new Secret("secret".Sha256()) },
            AllowedScopes = { "scope1" }
        }
    };

这个Client有什么特点呢?它的ClientID为client1,ClientSecret为secret,它允许有scope1这个权限。

好了,客户端模式这样就实现好了。

在Postman中测试:

好,得到AccessToken之后,就可以去访问API了。

1.3 密码模式

同样的,只需要修改Config.cs。首先,再增加一个权限:

public static IEnumerable<ApiScope> ApiScopes =>
    new ApiScope[]
    {
        new ApiScope("scope1"),
        new ApiScope("scope2")//新增的
    };

然后我们增加一个Client,用于密码模式认证的:

new Client
{
    ClientId = "client2",
    AllowedGrantTypes = GrantTypes.ResourceOwnerPassword,
    AllowedScopes = { "scope2" },
    RequireClientSecret=false
}

认证类型修改为密码模式ResourceOwnerPassword,同时不需要验证ClientSecret。

最后,我们增加允许访问的用户:

public static List<TestUser> Users =>
    new List<TestUser>()
    {
        new TestUser()
        {
            SubjectId="1",
            Username="user1",
            Password="password1",
            Claims=new Claim[]{ new Claim("role","admin") }
        },
        new TestUser()
        {
            SubjectId="2",
            Username="user2",
            Password="password2",
            Claims=new Claim[]{ new Claim("role","user") }
        }
    };

现在我们就可以在Postman中测试了:

1.4 授权码模式

授权码模式比较复杂,其流程如下:

1、客户端向认证服务器请求授权,假设其要求的权限为scope3,重定向链接为url。

2、认证服务器向用户提供登录页面,用户完成登录和确认授权。

3、认证服务器生成授权码code,跳转至url,把code附在其后。

4、url的后台程序获取到code之后,再向认证服务器请求token。

5、认证服务器返回token。

 

首先,我们增加一个权限:

public static IEnumerable<ApiScope> ApiScopes =>
    new ApiScope[]
    {
        new ApiScope("scope1"),
        new ApiScope("scope2"),
        new ApiScope("scope3")//新增
    };

然后,我们增加一个Client:

new Client
{
    ClientId = "client3",
    AllowedGrantTypes = GrantTypes.Code,
    ClientSecrets =
    {
        new Secret("secret".Sha256())
    },
    AllowedScopes = { "scope3" },
    RedirectUris={ "https://localhost:5001/callback.html" },
    RequirePkce=false
}

现在,我们尝试在浏览器中请求授权码,输入以下地址:

https://localhost:5001/connect/authorize?client_id=client3&response_type=code&scope=scope3&redirect_uri=https://localhost:5001/callback.html

我们会发现,页面将跳转到Account/Login这个地址,当然,因为没有这个页面,404了。这是Identity4默认的登录页地址,我们可以修改(在Startup.cs的ConfigureServices函数里):

var builder = services.AddIdentityServer(options =>
{
    options.UserInteraction.LoginUrl = "/login.html";
})

这样,登录页我们改成了login.html。接下来,我们需要在这个页面完成用户名密码输入并验证这些工作。完成之后,我们需要通知Identity4,用户验证通过了。

为了实现通知,我们加入一个Controller,加入一个Post方法:

[HttpPost]
public async Task<IActionResult> Post()
{
    string returnUrl = Request.Query["returnUrl"];

    AuthenticationProperties props = new AuthenticationProperties
    {
        IsPersistent = true,
        ExpiresUtc = DateTimeOffset.UtcNow.Add(TimeSpan.FromDays(30))
    };
    var isuser = new IdentityServerUser("1");

    await HttpContext.SignInAsync(isuser, props);

    return Redirect(returnUrl);
}

可以看到,这个方法获取了传进来的returnUrl这个参数,完成用户验证登记之后,就跳转到该地址了。

接下来,我们在login.html里调用这个Controller方法即可。

<!DOCTYPE html>
<html>
<head>
    <meta charset="utf-8" />
    <title></title>
    <script src="axios.min.js"></script>
</head>
<body>
    <div id="display_url"></div>
    <script type="text/javascript">
        let url = window.location.href;
        let pos = url.indexOf("ReturnUrl=");
        let returnUrl = url.substr(pos + 10);

        axios({
            method: 'post',
            url: '/test',
            params: {
                returnUrl: returnUrl
            }
        })
            .then(function (response) {
                console.log(response);
            })
            .catch(function (error) {
                console.log(error);
            });
    </script>
</body>
</html>

到目前为此,假设我们用浏览器再次请求授权码,将会得到以下结果:

https://localhost:5001/callback.html?code=C22C07AD90C74140F8F46415D5FA8E150F2B28E5A30023D4F915AF878D71FB37&scope=scope3

那个code就是我们要的授权码。拿到之后,我们在Postman上获取AccessToken:

 

还是叫明
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
适用于ASP.NET CoreOpenID Connect和OAuth 2.0框架-.NET开发
05-27
用于ASP.NET Core的IdentityServer4 OpenID Connect和OAuth 2.0框架这是IdentityServer4的主要仓库-还有更多内容:文档咨询,培训和支持示例访问令牌验证用于ASP.NET Core的IdentityServer4 OpenID Connect和OAuth 2.0框架这是主要IdentityServer4的存储库-但更多内容:文档咨询,培训和支持示例访问令牌验证快速入门UI ASP.NET身份集成EntityFramework集成Platform IdentityServer是使用Visual Studio 2017附带的RTM工具针对ASP.NET Core 2.0构建的。我们在问题跟踪器上支持的唯一配置。 note对于使用IdentityServer
IdentityServer4:适用于ASP.NET CoreOpenID Connect和OAuth 2.0框架
02-05
IdentityServer是一个免费的开源ASP.NET Core 和框架。 IdentityServer4由和创建和维护,它整合了将基于令牌的身份验证,单点登录和API访问控制集成到应用程序中所需的所有协议实现和可扩展性点。 IdentityServer4...
OpenID Connect 是什么?和 OAuth 有哪些异同?
最新发布
Becomin' Charles
05-11 653
本文简介了 OpenID Connect,以及 OAuth 2.0 的比较。通过图示分析了 OIDC 的一些使用。并基于笔者个人经验,给出了一些评价和建议。
.NET Core IdentityServer4实战 第二章-OpenID Connect添加用户认证
qq_39110534的博客
01-28 1033
.NET Core IdentityServer4实战 第二章-OpenID Connect添加用户认证 内容:本文带大家使用IdentityServer4进行使用OpenID Connect添加用户认证 作者:zara(张子浩) 欢迎分享,但需在文章鲜明处留下原文地址。   在这一篇文章中我们希望使用OpenID Connect这种方...
asp.net core系列 56 IS4使用OpenID Connect添加用户认证
weixin_33775582的博客
04-17 243
一.概述   在前二篇中讲到了客户端授权的二种方式: GrantTypes.ClientCredentials凭据授权和GrantTypes.ResourceOwnerPassword密码授权,都是OAuth2.0协议。本篇使用OpenID Connect添加用户认证,客户端授权是GrantTypes.Implicit隐式流授权,是OCID协议。 本篇示例中只有二个项目:一个IdentitySe...
ASP.NET Core 认证授权[3]:OAuth & OpenID Connect认证
极客神殿
10-24 4739
本文简单介绍了OAuth和的基本概念以及它们在 ASP.NET Core 中作为认证客户端的实现,如果我们只需要 “访问第三方资源” 的授权,使用OAuth认证即可。而在我们需要对自己的多个应用进行统一的身份验证时,应该使用来实现,不仅包含身份验证,还包含OAuth的授权协议,是更加推荐的做法。JWTBearer,也是在现代Web应用中比较流行的认证方式。
使用Azure Active Directory和OpenID ConnectASP.NET Core 2.0中进行身份验证和授权
04-05
本文将深入探讨如何利用Azure Active Directory(Azure AD)和OpenID ConnectASP.NET Core 2.0框架中实现这一目标。Azure AD是一种云身份管理解决方案,它允许开发人员构建安全的应用程序并连接到全球数百万个组织...
ASP.NET Core 实现基本认证的示例代码
10-14
ASP.NET Core 是一个开源的跨平台框架,用于构建高性能、模块化的Web应用程序...通过理解基本认证的工作原理和如何在ASP.NET Core实现它,你可以更好地控制应用程序的访问权限,确保只有授权用户才能访问敏感信息。
ASP.NET Core Authentication认证实现方法
12-17
ASP.NET Core还提供了其他身份验证机制,如Cookie认证、OAuth2、OpenID Connect等,可以根据实际需求选择合适的方案。对于JWT,它的优点在于轻量级、自包含和跨域支持,常用于API和微服务的认证。 总的来说,ASP...
Aspnet-OpenId.AspNet.Authentication.zip
09-18
Aspnet-OpenId.AspNet.Authentication.zip,旧版asp.net web应用程序的openid connect身份验证openid.aspnet.authentication,asp.net是一个开源的web框架,用于使用.net构建现代web应用和服务。asp.net创建基于html5、css和javascript的网站,这些网站简单、快速,可以扩展到数百万用户
openiddict-core:适用于ASP.NET Core 2.13.15.0和Microsoft.Owin 4.1(与ASP.NET 4.6.1兼容)的通用OpenID Connect堆栈
02-05
OpenIddict 您将沉迷于OpenID Connect堆栈。 什么是OpenIddict? OpenIddict旨在提供一种通用解决方案,以在任何ASP.NET Core 2.1、3.1和5.0应用程序中实现OpenID Connect服务器和令牌验证,并且从OpenIddict 3.0开始,任何也使用Microsoft.Owin的ASP.NET 4.x应用程序。 OpenIddict完全支持,和。 您还可以创建自己的自定义授予类型。 OpenIddict本机支持 , 和开箱即用,但您也可以提供自己的存储。 我想要一些简单易用的配置 强烈建议寻求简单易用的解决方案的开发人员使用基于
确保aspnet-core-3-oauth2-openid-connect
02-09
确保aspnet-core-3-oauth2-openid-connect
C#获取微信小程序openid用户信息(前端+asp.net服务器端代码)
08-03
2018改版后不能把官方API接口地址直接写在小程序里了,因此需要自己去写服务端来获取openid用户信息,详见代码。
如何在ASP.NET中创建OpenID
weixin_34087503的博客
10-11 215
前言( 引用 Lee's 程序人生- 博客园-OpenID使用手册JAVA版 )   了解一下openID openID在中国还不怎么普及,而且支持openID登录的站点也比较少 ,不过还是先补充点openID的信息吧 啥是openID呢,所谓openID就是用一个UR...
asp.net core 微信获取用户openid
weixin_30362233的博客
06-21 1196
  获取openid流程为首先根据微信开发参数构造AuthorizeUrl认证链接,用户跳转到该链接进行授权授权完成将跳转到回调页(首次认证需要授权,后面将直接再跳转至回调页),此时回调页中带上一个GET参数code,使用该code请求微信接口得到用户openid。话不多说,直接上代码。 1.编写认证类OAuth public class OAuth { p...
.NET OpenID Connect 服务器
dabusidede的博客
02-16 983
本篇文章介绍如何在ASP.NET实现OpenID Connect服务器 前置知识 1.OAuth2 协议 2.OpenID Connect 协议 这些知识你可以在github目录的的 [\平台无关\web] 目录找到 框架 .net 5.0 IdentityServer4包:版本4.1.2 (推荐使用4.x.x版本,不同版本会有细微差别) 新建API项目 我们需要新建一个ASP.NET Core API项目,并安装IdentityServer4 我们的项目看起来如下 API资源,Identity资源,客户
在离线环境中使用.NET Core
weixin_30247307的博客
07-18 207
在离线环境中使用.NET Core 0x00 写在开始 很早开始就对.NET Core比较关注,一改微软之前给人的印象,变得轻量、开源、跨平台。最近打算试着在工作中使用。但工作是在与互联网完全隔离的网络中进行的,因此就开始了在离线环境中部署.NET Core开发环境的尝试。总的来说还是比较蛋疼的,几乎每个阶段都遇到了问题。不过还好最后搞定了,写下这篇博客做个记录,同时分享给有类似需求的童鞋。以...
asp.net Authentication
12-10
ASP.NET身份验证是一种用于验证用户身份的机制,它可以确保只有经过身份验证的用户才能访问应用程序的受保护部分。ASP.NET Core提供了多种身份验证方式,包括Cookie身份验证、JWT身份验证、OpenID Connect身份验证等。其中,Cookie身份验证是最常用的一种方式。 以下是ASP.NET Core中使用Cookie身份验证的示例代码: 1. 在Startup.cs文件的ConfigureServices方法中添加身份验证服务: ```csharp services.AddAuthentication(CookieAuthenticationDefaults.AuthenticationScheme) .AddCookie(options => { options.LoginPath = "/Account/Login"; options.LogoutPath = "/Account/Logout"; }); ``` 2. 在Startup.cs文件的Configure方法中启用身份验证中间件: ```csharp app.UseAuthentication(); ``` 3. 在需要进行身份验证的Controller或Action上添加[Authorize]特性: ```csharp [Authorize] public class HomeController : Controller { // ... } ``` 4. 在登录Controller中使用SignInAsync方法进行登录: ```csharp public async Task<IActionResult> Login(LoginViewModel model) { // 验证用户名和密码 if (/* 验证通过 */) { // 创建用户标识 var claims = new List<Claim> { new Claim(ClaimTypes.Name, model.UserName) }; var identity = new ClaimsIdentity(claims, CookieAuthenticationDefaults.AuthenticationScheme); // 登录 await HttpContext.SignInAsync(CookieAuthenticationDefaults.AuthenticationScheme, new ClaimsPrincipal(identity)); // 跳转到首页 return RedirectToAction("Index", "Home"); } // 验证失败,返回登录页面 return View(model); } ``` 5. 在注销Controller中使用SignOutAsync方法进行注销: ```csharp public async Task<IActionResult> Logout() { await HttpContext.SignOutAsync(CookieAuthenticationDefaults.AuthenticationScheme); return RedirectToAction("Index", "Home"); } ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值