通过OpenIddict设计一个授权服务器03-客户凭证流程

已于 2024-01-17 13:07:23 修改
阅读量1.6k 收藏 23
点赞数 26
分类专栏: dotnet 文章标签: 服务器 运维
于 2024-01-17 11:37:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36437991/article/details/135631719
版权

在本部分中,我们将把 OpenIddict 添加到项目中,并实施第一个授权流程:客户端凭证流。

添加 OpenIddict 软件包

首先,我们需要安装 OpenIddict NuGet 软件包

dotnet add package OpenIddict
dotnet add package OpenIddict.AspNetCore
dotnet add package OpenIddict.EntityFrameworkCore
dotnet add package Microsoft.EntityFrameworkCore.InMemory

在这里插入图片描述
除了主库,我们还安装了 OpenIddict.AspNetCore 软件包,该软件包可将 OpenIddict 集成到 ASPNET Core 主机中。
OpenIddict.EntityFrameworkCore 包支持 Entity Framework Core。现在我们将使用内存实现,为此我们使用了 Microsoft.EntityFrameworkCore.InMemory. 包。

设置 OpenIddict

我们将首先介绍启动和运行 OpenIddict 所需的最低条件。必须启用至少一个 OAuth 2.0/OpenID Connect 流程。我们选择启用客户端凭证流,它适用于机器到机器应用程序。在本系列的下一部分,我们将使用 PKCE 实现授权代码流,这是单页应用程序 (SPA) 和本地/移动应用程序的推荐流程。
开始对 Startup.cs 进行以下更改:

using Microsoft.AspNetCore.Authentication.Cookies;
using Microsoft.EntityFrameworkCore;

var builder = WebApplication.CreateBuilder(args);
builder.Services.AddControllersWithViews();
builder.Services.AddAuthentication(CookieAuthenticationDefaults.AuthenticationScheme)
       .AddCookie(CookieAuthenticationDefaults.AuthenticationScheme, options =>
       {
           options.LoginPath = "/account/login";
       });
builder.Services.AddDbContext<DbContext>(options =>
{
    // 使用内存存储
    options.UseInMemoryDatabase(nameof(DbContext));

    // 注册OpenIddict所需的实体集。
    options.UseOpenIddict();
});
builder.Services.AddOpenIddict()
        // 注册 OpenIddict 核心组件
        .AddCore(options =>
        {
            // 配置 OpenIddict 以使用 EF Core 存储器/模型
            options.UseEntityFrameworkCore()
                .UseDbContext<DbContext>();
        })
        // 注册 OpenIddict 服务器组件
        .AddServer(options =>
        {
            options
                .AllowClientCredentialsFlow();

            options
                .SetTokenEndpointUris("/connect/token");

            //令牌的加密和签名
            options
                .AddEphemeralEncryptionKey()
                .AddEphemeralSigningKey();

            //注册范围(权限)
            options.RegisterScopes("api");

            //注册 ASP.NET Core 主机并配置 ASP.NET Core 特定选项 
            options
                .UseAspNetCore()
                .EnableTokenEndpointPassthrough();
        });

var app = builder.Build();

app.UseStaticFiles();

app.UseRouting();
app.UseAuthentication();
app.MapDefaultControllerRoute();
app.Run();

首先,在 ConfigureServices 方法中注册 DbContext。OpenIddict 原生支持 Entity Framework Core、Entity Framework 6 和 MongoDB,你也可以提供自己的存储。
在本例中,我们将使用 Entity Framework Core,并使用内存数据库。options.UseOpenIdDict 调用会注册 OpenIddict 所需的实体集。

接下来是注册 OpenIddict 本身。AddOpenIddict() 调用会注册 OpenIddict 服务,并返回一个 OpenIddictBuilder 类,我们可以用它来配置 OpenIddict。

首先注册的是核心组件。OpenIddict 被指示使用 Entity Framework Core,并使用前面提到的 DbContext。
接下来,注册服务器组件并启用客户端凭证流。为使该流程正常运行,我们需要注册一个令牌端点。我们需要自己实现这个端点。我们稍后再做这项工作。

要使 OpenIddict 能够加密和签名令牌,我们需要注册两个密钥,一个用于加密,一个用于签名。在本例中,我们将使用短暂密钥。短暂密钥会在应用程序关闭时自动丢弃,因此使用这些密钥签名或加密的有效负载会自动失效。这种方法只能在开发过程中使用。在生产过程中,建议使用 X.509 证书。

RegisterScopes 定义了支持哪些作用域(权限)。在本例中,我们只有一个名为 api 的作用域,但授权服务器可以支持多个作用域
UseAspNetCore() 调用用于将 AspNetCore 设置为 OpenIddict 的主机。我们还调用了 EnableTokenEndpointPassthrough,否则会阻止对未来令牌端点的请求。
要检查 OpenIddict 是否配置正确,我们可以启动应用程序并导航到:https://localhost:5001/.well-known/openid-configuration,得到的回应应该是这样的:

{
  "issuer": "https://localhost:5001/",
  "token_endpoint": "https://localhost:5001/connect/token",
  "jwks_uri": "https://localhost:5001/.well-known/jwks",
  "grant_types_supported": [
    "client_credentials"
  ],
  "scopes_supported": [
    "openid",
    "api"
  ],
  "claims_supported": [
    "aud",
    "exp",
    "iat",
    "iss",
    "sub"
  ],
  "id_token_signing_alg_values_supported": [
    "RS256"
  ],
  "subject_types_supported": [
    "public"
  ],
  "token_endpoint_auth_methods_supported": [
    "client_secret_post",
    "private_key_jwt",
    "client_secret_basic"
  ],
  "claims_parameter_supported": false,
  "request_parameter_supported": false,
  "request_uri_parameter_supported": false,
  "authorization_response_iss_parameter_supported": true
}

在这里插入图片描述
在本指南中,我们将使用 Postman 测试授权服务器,但也可以使用其他工具。
下面是一个使用 Postman 的授权请求示例。授权类型是客户凭据流。我们指定了访问令牌 url、客户端 ID 和秘密,以验证客户端身份。我们还请求访问 api 范围。
直接请求https://localhost:5001/connect/token
在这里插入图片描述

如果我们请求令牌,操作将失败:client_id 无效。这是有道理的,因为我们还没有在授权服务器上注册任何客户端。
发送post请求
在这里插入图片描述
用代码实现

using Flurl.Http;

namespace AuthClient
{
    internal class Program
    {
        static void Main(string[] args)
        {
            var dic = new Dictionary<string, string>();
            dic.Add("grant_type", "client_credentials");
            dic.Add("client_id","postman");
            dic.Add("client_secret", "postman-secret");
            dic.Add("scope", "api");
            string url = "https://localhost:5001/connect/token";
            var response = url.PostUrlEncodedAsync(dic).Result;
            Console.WriteLine(response.ResponseMessage.Content.ReadAsStringAsync().Result);
            Console.WriteLine("完成");
        }
    }
}

我们可以通过将客户端添加到数据库来创建客户端。为此,我们创建了一个名为 TestData 的类。测试数据实现了 IHostedService 接口,这使我们能够在应用程序启动时在 Startup.cs 中执行生成测试数据的操作。

using Microsoft.EntityFrameworkCore;
using OpenIddict.Abstractions;

namespace AuthorizationServer
{
    public class TestData : IHostedService
    {
        private readonly IServiceProvider _serviceProvider;

        public TestData(IServiceProvider serviceProvider)
        {
            _serviceProvider = serviceProvider;
        }

        public async Task StartAsync(CancellationToken cancellationToken)
        {
            using var scope = _serviceProvider.CreateScope();

            var context = scope.ServiceProvider.GetRequiredService<DbContext>();
            await context.Database.EnsureCreatedAsync(cancellationToken);

            var manager = scope.ServiceProvider.GetRequiredService<IOpenIddictApplicationManager>();

            if (await manager.FindByClientIdAsync("postman", cancellationToken) is null)
            {
                await manager.CreateAsync(new OpenIddictApplicationDescriptor
                {
                    ClientId = "postman",
                    ClientSecret = "postman-secret",
                    DisplayName = "Postman",
                    Permissions =
                    {
                        OpenIddictConstants.Permissions.Endpoints.Token,
                        OpenIddictConstants.Permissions.GrantTypes.ClientCredentials,
                        OpenIddictConstants.Permissions.Prefixes.Scope + "api"
                    }
                }, cancellationToken);
            }
        }

        public Task StopAsync(CancellationToken cancellationToken) => Task.CompletedTask;
    }
}

客户端在测试数据中注册。客户端 ID 和秘密用于客户端与授权服务器之间的身份验证。权限决定了客户端的选项。
在这种情况下,我们允许客户端使用客户端凭据流,访问令牌端点,并允许客户端请求 api 范围。
在 Startup.cs 中注册测试数据服务,以便在应用程序启动时执行:

builder.Services.AddHostedService<TestData>();

在这里插入图片描述
如果我们再次尝试用 Postman 获取访问令牌,请求仍然会失败。这是因为我们还没有创建令牌端点。我们现在就创建。
在这里插入图片描述

创建一个名为 AuthorizationController 的新控制器,我们将在此托管端点:

using Microsoft.AspNetCore;
using Microsoft.AspNetCore.Mvc;
using OpenIddict.Abstractions;
using OpenIddict.Server.AspNetCore;
using System.Security.Claims;

namespace AuthorizationServer.Controllers
{
    
    public class AuthorizationController : Controller
    {
        [HttpPost("~/connect/token")]
        public IActionResult Exchange()
        {
            var request = HttpContext.GetOpenIddictServerRequest() ??
                          throw new InvalidOperationException("The OpenID Connect request cannot be retrieved.");

            ClaimsPrincipal claimsPrincipal;

            if (request.IsClientCredentialsGrantType())
            {
                // 注意:OpenIddict 会自动验证客户端凭证:
                // 如果 client_id 或 client_secret 无效,则不会调用此操作。
                var identity = new ClaimsIdentity(OpenIddictServerAspNetCoreDefaults.AuthenticationScheme);

                // Subject (sub)是必填字段,我们在此使用客户 ID 作为主题标识符。
                identity.AddClaim(OpenIddictConstants.Claims.Subject, request.ClientId ?? throw new InvalidOperationException());

                // 添加一些要求,别忘了添加目的地,否则它不会被添加到访问令牌中。
                identity.AddClaim("some-claim", "some-value", OpenIddictConstants.Destinations.AccessToken);
                //上面这句话不起作用,下面的可以
                identity.AddClaim(new Claim("some-claim2", "some-value2").SetDestinations(OpenIddictConstants.Destinations.AccessToken));
                claimsPrincipal = new ClaimsPrincipal(identity);

                claimsPrincipal.SetScopes(request.GetScopes());
            }
            else
            {
                throw new InvalidOperationException("The specified grant type is not supported.");
            }

            // 返回 SignInResult 结果时,OpenIddict 将向用户发放相应的访问/身份令牌。
            return SignIn(claimsPrincipal, OpenIddictServerAspNetCoreDefaults.AuthenticationScheme);
        }
    }
}

其中一个操作是 “Exchange”。所有流程(不仅是客户证书流程)都使用该操作来获取访问令牌。

在客户凭据流中,令牌是根据客户凭据签发的。而在授权码流中,使用的是同一个端点,但随后会用授权码来交换令牌。我们将在第四部分看到这一点。

目前,我们需要重点关注客户端凭证流程。当请求进入 Exchange 操作时,客户端凭证(ClientId 和 ClientSecret)已经通过 OpenIddict 验证。因此,我们不需要对请求进行验证,只需创建一个声称委托人并使用该委托人登录即可。

声明主体与账户控制器中使用的声明不同,后者基于 Cookie 身份验证处理程序,仅在授权服务器本身的上下文中使用,以确定用户是否已通过身份验证。

我们必须创建基于 OpenIddictServerAspNetCoreDefaults.AuthenticationScheme 的请求声明。这样,当我们在该方法末尾调用 SignIn 时,OpenIddict 中间件就会处理登录并返回一个访问令牌作为对客户端的响应。

只有当我们指定目的地时,才会在访问令牌中加入权利要求声明中定义的权利要求。示例中的 "some-value "请求将被添加到访问令牌中。
主题(Subject)要求是必填项,您无需指定目的地,因为它将包含在访问令牌中。

我们还通过调用 claimsPrincipal.SetScopes(request.GetScopes()); 授权所有请求的作用域。OpenIddict 已经检查了所请求的作用域是否被允许(一般情况下和针对当前客户端)。我们之所以要在此处手动添加作用域,是因为我们可以根据需要过滤此处授予的作用域。

一枚令牌定乾坤

让我们再次尝试用 Postman 获取访问令牌,这次应该能成功。
在这里插入图片描述
从 OpenIddict v3 开始,访问令牌默认采用 Jason Web Token(JWT)格式。这使我们能够使用 jwt.io 检查令牌(感谢 Auth0 提供的服务!)。
一个问题是,令牌不仅要签名,还要加密。OpenIddict 默认会对访问令牌进行加密。我们可以在 Startup.cs 中配置 OpenIddict 时禁用这种加密。
在这里插入图片描述
现在,当我们重启授权服务器并请求一个新的令牌时。将令牌粘贴到 jwt.io 并查看令牌内容:
在这里插入图片描述

可以看到,客户 ID postman 被设置为Subject(sub)。此外,访问令牌中还添加了 some-claim claim。

接下来干什么

恭喜您,您已经使用 OpenIddict 实现了客户端凭证流!
您可能已经注意到,客户端凭证流未使用登录页面。该流程会立即将客户端凭据交换为令牌,适用于机器对机器应用程序。
接下来,我们将使用 PKCE 实现授权代码流,这是单页应用程序(SPA)和移动应用程序的推荐流程。该流程将涉及用户,因此我们的登录页面将发挥作用。

假装我不帅
关注
  • 26
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
openiddict-core:适用于ASP.NET Core 2.13.15.0和Microsoft.Owin 4.1(与ASP.NET 4.6.1兼容)的通用OpenID Connect堆栈
02-05
OpenIddict 您将沉迷于OpenID Connect堆栈。 什么是OpenIddictOpenIddict旨在提供一种通用解决方案,以在任何ASP.NET Core 2.1、3.1和5.0应用程序中实现OpenID Connect服务器和令牌验证,并且从OpenIddict 3.0开始,任何也使用Microsoft.Owin的ASP.NET 4.x应用程序。 OpenIddict完全支持,和。 您还可以创建自己的自定义授予类型。 OpenIddict本机支持 , 和开箱即用,但您也可以提供自己的存储。 我想要一些简单易用的配置 强烈建议寻求简单易用的解决方案的开发人员使用基于
openIddict-practice:OpenIddict身份验证服务练习
02-13
openIddict-practice:OpenIddict身份验证服务练习
OpenIdDict 授权
极客神殿
09-05 1190
【代码】OpenIdDict 授权
单点登录的实现原理
u014754272的博客
03-09 130
目录 一、共享Session 二、基于OpenId的单点登录 三、基于Cookie的OpenId存储方案 四、B/S多域名环境下的单点登录处理 五、安全问题 单点登录在现在的系统架构中广泛存在,他将多个子系统的认证体系打通,实现了一个入口多处使用,而在架构单点登录时,也会遇到一些小问题,在不同的应用环境中可以采用不同的单点登录实现方案来满足需求。我将以我所遇到的应用环境以及在其中所经历...
通过OpenIddict设计一个授权服务器02-创建asp.net项目
qq_36437991的博客
01-16 1303
通过OpenIddict设计一个授权服务器02-创建asp.net项目
通过OpenIddict设计一个授权服务器01-介绍
qq_36437991的博客
01-15 827
通过OpenIddict设计一个授权服务器01-介绍
探索OpenIddict UI:构建自定义身份认证界面的利器
最新发布
gitblog_00034的博客
05-27 264
探索OpenIddict UI:构建自定义身份认证界面的利器 项目地址:https://gitcode.com/thomasduft/openiddict-ui OpenIddict UI 是一个针对OpenIddict框架的扩展,它提供了一组API,用于管理和维护OpenIddict的Scope和Application,并集成了ASP.NET Core Identity的身份管理功能。该项目旨在...
OpenIddict 介绍
weixin_43394129的博客
02-22 417
一.什么是OpenIddict   OpenIddict 是一个开源的通用框架 ,用于在任何 ASP.NET Core 2.1(及更高版本)和遗留 ASP.NET 4.6.1(及更高版本)应用程序中构建符合标准的 OAuth 2.0/OpenID Connect 服务器。   OpenIddict 授权服务器中集成包括: 直通模式和事件模型。OpenIddict允许自定义控制器的Action...
openiddict-samples:用于OpenIddict的ASP.NET Core,Microsoft.OwinASP.NET 4.x和JavaScript示例
02-05
openiddict-samples:用于OpenIddict的ASP.NET Core,Microsoft.OwinASP.NET 4.x和JavaScript示例
AspNetCoreOpeniddict:带有PKCE的OpenIddict Angular ASP.NET Core OpenID Connect代码流
04-28
使用OpenIddict和Angular实现OpenID代码流PKCE 博客: 创建迁移 安慰 dotnet ef迁移添加了initSts -c ApplicationDbContext 电源外壳 添加迁移“ init_sts” -c ApplicationDbContext 手动运行 Update-Database -Context ApplicationDbContext 历史 2021-04-21更新了程序包,改进了范围验证 2020-12-26更新到.NET 5,Angular 11 2018-05-27更新到.NET Core 2.1 2018-02-09更新npm和Angular 5.2.4 2018-02-03更新npm和nuget程序包,Angular 5.2.3,angular-auth-oidc-client 4.0.1 2017-11-24更新了ASP.N
ABP框架之OpenIddict分布式认证授权学习手册v1.0
06-13
快进来,带你入坑~~~
openiddict-samples, OpenIddict的ASP.NET 核心/javascript示例.zip
09-17
openiddict-samples, OpenIddict的ASP.NET 核心/javascript示例 OpenIddict.Samples演示如何使用 OpenIddict 和不同 oauth2/openid连接流的内核示例示例。支持需要帮助或者想分享你的想法? 请不要犹豫加入或者问你StackOverflow的问题:Gitte
A2SPA:具有ASP.NetCore 2 + Angular 4 + Bootstrap 4+ OpenIdDict的SPA
01-28
Angular 4 + Bootstrap 4 + ASP.Net Core 1.1,ASP.Net Core 2 SPA 注意:这是VS2017 ASP.Net Core 2代码的早期版本(请参阅VS2017_2文件夹) 这个新的ASP.Net 2版本的代码仍然很粗糙,需要清理,调试并且还没有添加NSwag / Swagger。另一方面,登录,注销,密码更改和数据CRUD功能应该可以正常工作(通常)。 什么是A2SPA? 一个将ASP.Net Core用作后端并将Angular 4.0用作前端的SPA。 以下是基于ASP.Net Core 1.1.1和Angular 4的原始文章系列的链接 第1部分:请参见: : 涵盖了将ASP.Net Core和Angular 4集成的技术。 第2部分:请参见: : 涵盖了将ASP.Net Core标记帮助器与Angular 4一起使用以显示数据 第3部分:请参见涵盖了如何将ASP.Net Core标记帮助程序与Angular 4结合使用以进行数据输入 第4部分:请参见涵盖了使用JWT和OpenIdDict进行令牌身份验证 第5部分
使用OpenIddict,页面刷新之后refresh_token消失
Martin 的博客
11-15 1699
使用OpenIddict,页面刷新之后refresh_token消失
使用 OpenID Connect
weixin_34378969的博客
03-27 1152
2019独角兽企业重金招聘Python工程师标准>>> ...
abp Vnext OpenIddect 扩展微信小程序授权登录
逸只猫の博客
04-04 1729
abp vnext6.0之后官方替换了原来的ids4,采用了openIddict的oauth认证框架。使用之前的方法已经不行,以下是OpenIddect 使用ITokenExtensionGrant接口进行的授权登入扩展,按照以下代码可实现,欢迎交流指正。
Authorizing your .NET Core MVC Core API requests with OpenIddict and Identity
Martin 的博客
11-14 1060
Authorizing your .NET Core MVC Core API requests with OpenIddict and Identity   OpenIddict is an excellent open-source library for dealing with OAuth and OpenID in the new MVC Core (previous
openiddict
08-16
OpenIddict 是一个开源的身份验证和授权库,它是基于 OAuth 2.0 和 OpenID Connect 标准的。它提供了一种简单且灵活的方式来集成身份验证和授权功能到 ASP.NET Core 应用程序中。 使用 OpenIddict,你可以轻松地实现身份验证和授权的功能,包括用户注册、登录、令牌生成、令牌验证等。它支持多种身份验证流程,包括授权码模式、隐式模式、混合模式等。 OpenIddict 还提供了一些扩展点,可以根据自己的需求进行定制。你可以自定义令牌生成、令牌验证、授权端点等逻辑,以满足特定的业务需求。 总的来说,OpenIddict 是一个功能强大且易于使用的身份验证和授权库,可以帮助开发者快速集成身份验证和授权功能到 ASP.NET Core 应用程序中。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

假装我不帅

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值