Asp.Net Core 中IdentityServer4 实战之 Claim详解

于 2021-04-10 15:21:14 发布
阅读量513 收藏 2
点赞数 1
分类专栏: 技术
原文链接:https://www.colorgg.com
版权

一、前言

由于疫情原因,让我开始了以博客的方式来学习和分享技术(持续分享的过程也是自己学习成长的过程),同时也让更多的初学者学习到相关知识,如果我的文章中有分析不到位的地方,还请大家多多指教;以后我会持续更新我的文章,望大家多多支持和关注。
上几篇文章主要分享了IdentityServer4在Asp.Net Core 3.x 中的应用,在上面的几篇分享中有一部分博友问了我这么一个问题"他通过IdentityServer4 来搭建授权中心网关服务,怎么才能在访问受保护的Api资源中获取到用户的相关的身份信息呢?"。
那这篇文章主要来分享认证过程中的一个重要组成部分Claim,在开始之前强烈建议还没看过我写的 IdentityServer4 系列文章的同学先看一下,下面几篇文章中以架构思维带大家进入IdentityServer4 的世界

二、Claim 是什么

Claim

Claim 我的理解是一个声明,存储着一个键值对的关系,就相当于身份证中的 姓名:特朗普 , 性别:男等等身份证的系列元素,每一个项都是一个键值,我们看看Claim主要代码

public class Claim
{
    public string ClaimType { get; set; }

    public string ClaimValue { get; set; }
}

代码中主要核心两个属性 ClaimTypeClaimValue;ClaimType 就是Key,ClaimValue就代表一个Value。这样的话,刚好可以存储一个键值对。这时候姓名:特朗普是不是就可以存进去了。
同时微软也提供了默认的ClaimType,部分默认的如下图:

Claim 差不多已经介绍完毕,相对比较简单清晰,Claim可以说是身份的最小单元的声明(身份单元)。

ClaimsIdentity

我们先来看看ClaimsIdentity的部分代码,代码如下:

public class ClaimsIdentity:IIdentity
{
    public ClaimsIdentity(IEnumerable<Claim> claims){}
    
    //名字这么重要,当然不能让别人随便改啊,所以我不许 set,除了我儿子跟我姓,所以是 virtual 的
    public virtual string Name { get; }
    public string Label { get; set; }
    
    //身份单元集合
    public virtual IEnumerable<Claim> Claims { get; }
    
    //这是我的证件类型,也很重要,同样不许 set
    public virtual string AuthenticationType { get; }
    
    public virtual void AddClaim(Claim claim);
    
    public virtual void RemoveClaim(Claim claim);
    
    public virtual void FindClaim(Claim claim);
}

从代码中可以看到有一个Claims 属性,是一个集合,看到这里是不是可以把我们的身份证给联想进去呢?我们每个人都有一个“身份证”(ClaimIdentity),身份证中包含了多个“身份单元”(Claim)等信息。
从代码中还有一个特别重要的属性AuthenticationType 翻译成认证类型,这里也就相当于证件类型,比如身份证,它的证件类型就是"身份证",护照证机的证机类型就是"护照"。
同时ClaimsIdentity继承了IIdentity抽象接口,我们再来看看这个抽象接口的代码:

// 定义证件对象的基本功能。
public interface IIdentity
{
    //证件名称
    string Name { get; }
    
    // 用于标识证件的载体类型。
    string AuthenticationType { get; }
    
    //是否是合法的证件。
    bool IsAuthenticated { get; }
}

到这里ClaimsIdentity介绍的差不多了,ClaimsIdentity就相当于是身份证、或者护照之类的东西,一个能够证明身份的证件。

ClaimsPrincipal

一个人有了身份,就会有多重身份,比如你即是司机校长公司老板等等,那你就会有驾驶证教师证公司的营业执照等证件。那这些证件需要一个载体去容纳,那ClaimsPrincipal这个就相当于是这些证件的载体,我们来看看它的部分核心代码:

    public class ClaimsPrincipal : IPrincipal
    {
       
        public ClaimsPrincipal();
       
        public ClaimsPrincipal(IEnumerable<ClaimsIdentity> identities);
        
        public ClaimsPrincipal(IIdentity identity);
        
        public ClaimsPrincipal(IPrincipal principal);
      
        public virtual IIdentity Identity { get; }
       
        public virtual IEnumerable<ClaimsIdentity> Identities { get; }
        
        //把证件添加到载体中
        public virtual void AddIdentities(IEnumerable<ClaimsIdentity> identities);
        //把证件添加到载体中
        public virtual void AddIdentity(ClaimsIdentity identity);
        
        //以下都是从载体中获取证件等操作
        public virtual IEnumerable<Claim> FindAll(Predicate<Claim> match);
      
        public virtual IEnumerable<Claim> FindAll(string type);
        
        public virtual Claim FindFirst(string type);
       
        public virtual Claim FindFirst(Predicate<Claim> match);
        
        public virtual bool HasClaim(Predicate<Claim> match);

        //是否属于某个角色
        public virtual bool IsInRole(string role);
    }

ClaimsPrincipal 介绍完了,我这里把ClaimsPrincipal 它叫证件的容器载体
我们已经知道了 “身份单元(Claims)” , “身份证(ClaimsIdentity)” , “证件容器载体(ClaimsPrincipal)”这三者的关系。
我们简单的来看下身份认证携带信息的简化的流程图:

好了,这里Claim相关概念理清楚了,这里也需要感谢下 微软MVP大佬@Savorboard 的文章https://www.cnblogs.com/savorboard/p/aspnetcore-identity.html 让我理清楚了这些关系!

三、实战

我这里继续我上几篇文章的代码基础上编写,需要代码的可以访问 https://github.com/a312586670/IdentityServerDemo 代码会跟着博客同步更新。
上几篇文章中解决方案中已经创建了如下三个项目:

  • Jlion.NetCore.Identity :Identity公共基础类库
  • Jlion.NetCore.Identity.Service : Ids4授权服务,也是上几篇文章中说的授权中心服务简单版本
  • Jlion.NetCore.Identity.UserApiService :用户业务网关(受保护的资源)
授权中心(Ids4授权服务)
Jlion.NetCore.Identity.Service

我们先在授权中心(ids4)服务中验证用户的代码中添加用户的相关Claims,核心代码如下:
不熟悉的请先移步
Asp.Net Core 中IdentityServer4 授权中心之应用实战 这篇文章

public class ResourceOwnerPasswordValidator : IResourceOwnerPasswordValidator
 {
        public async Task ValidateAsync(ResourceOwnerPasswordValidationContext context)
        {
            try
            {
                var userName = context.UserName;
                var password = context.Password;

                //验证用户,这么可以到数据库里面验证用户名和密码是否正确
                var claimList = await ValidateUserAsync(userName, password);

                // 验证账号
                context.Result = new GrantValidationResult
                (
                    subject: userName,
                    authenticationMethod: "custom",
                    claims: claimList.ToArray()
                );
            }
            catch (Exception ex)
            {
                //验证异常结果
                context.Result = new GrantValidationResult()
                {
                    IsError = true,
                    Error = ex.Message
                };
            }
        }

        #region Private Method
        /// <summary>
        /// 验证用户
        /// </summary>
        /// <param name="loginName"></param>
        /// <param name="password"></param>
        /// <returns></returns>
        private async Task<List<Claim>> ValidateUserAsync(string loginName, string password)
        {
            //TODO 这里可以通过用户名和密码到数据库中去验证是否存在,
            // 以及角色相关信息,我这里还是使用内存中已经存在的用户和密码
            var user = OAuthMemoryData.GetTestUsers();

            if (user == null)
                throw new Exception("登录失败,用户名和密码不正确");
            //我这里为了测试,简单的硬编码,生产环境可以通过数据库中读取到相关信息构造`Claim`(**身份单元**)
            return new List<Claim>()
            {
                new Claim(ClaimTypes.Name, $"{loginName}"),
                new Claim(EnumUserClaim.DisplayName.ToString(),"测试用户"),
                new Claim(EnumUserClaim.UserId.ToString(),"10001"),
                new Claim(EnumUserClaim.MerchantId.ToString(),"000100001"),
            };
        }
        #endregion
    }

现在,多个Claim已经构建完成,多个Claim构建出了一个用户身份,它们都属于即将登录的用户所拥有的身份单元,接下来我们还需要实现IProfileService抽象接口,
代码如下:

public class UserProfileService : IProfileService
{
        /// <summary>
        /// 
        /// </summary>
        /// <param name="context"></param>
        /// <returns></returns>
        public async Task GetProfileDataAsync(ProfileDataRequestContext context)
        {
            try
            {
                
                var claims = context.Subject.Claims.ToList(); 
                // 把认证通过的用户身份
                context.IssuedClaims = claims.ToList();
            }
            catch { }
        }

        /// <summary>
        /// 
        /// </summary>
        /// <param name="context"></param>
        /// <returns></returns>
        public async Task IsActiveAsync(IsActiveContext context)
        {
            context.IsActive = true;
        }
    }

GetProfileDataAsync主要为用户加载Claims,实现该代码并且通过AddProfileService<T>()方法添加到DI中,才能在API资源中获取到用户的身份信息,代码如下:

  public void ConfigureServices(IServiceCollection services)
  {
      services.AddControllers();

      
      #region 数据库存储方式
      services.AddIdentityServer()
          .AddDeveloperSigningCredential()
          .AddInMemoryApiResources(OAuthMemoryData.GetApiResources())
          //.AddInMemoryClients(OAuthMemoryData.GetClients())
          .AddClientStore<ClientStore>()
          .AddResourceOwnerValidator<ResourceOwnerPasswordValidator>()
          .AddExtensionGrantValidator<WeiXinOpenGrantValidator>()//添加微信端自定义方式的验证(上篇自定义授权方式的代码)
          .AddProfileService<UserProfileService>();

      #endregion

  }
Api资源(受保护的资源)
Jlion.NetCore.Identity.UserApiService

我们先来创建UserIdentityExtension扩展类,代码如下:

 public static class UserIdentityExtension
 {
        /// <summary>
        /// 获得用户的Name
        /// </summary>
        /// <param name="this"></param>
        /// <returns></returns>
        public static string Name(this ClaimsPrincipal @this)
        {
            return @this?.Identity?.Name;
        }

        /// <summary>
        /// 获得DisplayName
        /// </summary>
        /// <param name="this"></param>
        /// <returns></returns>
        public static string DisplayName(this ClaimsPrincipal @this)
        {
            var value = @this?.Claims?.FirstOrDefault(oo => oo.Type == EnumUserClaim.DisplayName.ToString())?.Value;
            return value;
        }

        public static string UserId(this ClaimsPrincipal @this)
        {
            return @this?.Claims?.FirstOrDefault(oo => oo.Type == EnumUserClaim.UserId.ToString())?.Value;
        }

        public static string MerchantId(this ClaimsPrincipal @this)
        {
            return @this?.Claims?.FirstOrDefault(oo => oo.Type == EnumUserClaim.MerchantId.ToString())?.Value;
        }
 }

再在原来的代码基础上新增UserController控制器,代码如下:

[Authorize]
[ApiController]
[Route("[controller]")]
public class UserController : ControllerBase
{

    private readonly ILogger<UserController> _logger;

    public UserController(ILogger<UserController> logger)
    {
        _logger = logger;
    }
 }

UserController控制器已经创建完了,继承了ControllerBase基类,我们来看看ControllerBase包含了哪些信息,核心的代码如下:

/// <summary>
/// A base class for an MVC controller without view support.
/// </summary>
[Controller]
public abstract class ControllerBase
{
     //通过请求上下文中获得User(证件载体容器)
     public ClaimsPrincipal User => HttpContext?.User;

    //其他核心代码没有贴出来,具体的可以看官方源代码
}

看了源代码,我们是不是可以考虑使用User来获取身份证件中的某些身份元件呢?,在UserController添加获取用户信息的接口,完整代码如下:

[Authorize]
[ApiController]
[Route("[controller]")]
public class UserController : ControllerBase
{

  private readonly ILogger<UserController> _logger;

  public UserController(ILogger<UserController> logger)
  {
      _logger = logger;
  }

  
  [HttpGet]
  public async Task<object> Get()
  {
     //通过ClaimsPrincipal(证件容器载体)获得某些证件的身份元件
     var userId = User.UserId();
     return new
     {
          name = User.Name(),
          userId = userId,
          displayName = User.DisplayName(),
          merchantId = User.MerchantId(),
     };
  }
}

好了,代码已经构建完成!!!
现在我把两个服务通过命令行启动起来.
Jlion.NetCore.Identity.Service启动如下图:

我这里还是以"http://localhost:5000" 地址启动
Jlion.NetCore.Identity.UserApiService 启动如下图:

这里以"http://localhost:5001"地址启动

现在我们通过postman 访问ids4服务器获得accesstoken 如下图:

获取access_token 成功,我再携带access_token访问 用户业务网关,如下图:

成功获取到用户身份信息 Claims相关信息。

结论:ids4授权服务中构建用户身份信息(Claim)通过身份容器载体ClaimsPrincipal载入(具体载入到哪里?是怎么携带到Api资源网关中的?下篇文章再来分享具体的原理和流程);再经过受保护的Api资源网关中通过ClaimsPrincipal身份容器载体获得当前用户的相关信息后就可以做一些基于角色授权业务相关的事情。

博客系列文章源代码地址:https://github.com/a312586670/IdentityServerDemo
参考文章:
https://www.cnblogs.com/savorboard/p/aspnetcore-identity.html

marcushbs
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
ASP.Net Core3.0使用JWT认证的实现
12-23
JWT认证简单介绍 关于Jwt的介绍网上很多,此处不在赘述,我们主要看看jwt的结构。 JWT主要由三部分组成,如下: HEADER.PAYLOAD.SIGNATURE...Payload 主要包含一些声明信息(claim),这些声明是key-value对的数据结构
ASP.NET Core 身份验证及鉴权
dijiaowu8633的博客
03-12 1200
本文转载至:https://www.cnblogs.com/wiseant/p/10515842.html ASP.NET Core 身份验证及鉴权 目录 项目准备 身份验证 定义基本类型和接口 编写验证处理器 实现用户身份验证 权限鉴定 思路 编写过滤器类及相关接口 实现属性注入 实现用户权限鉴定 测试 环...
.net coreClaim
weixin_30907523的博客
11-07 1274
假设有这样一家动物园,这家动物园要门票,门票要从动物园门口的售票室买,购买后,能得到一张纸质的票据。纸很特殊,动物园验票能通过纸张来判断门票是不是真的,还能看出你有没有涂改门票。门票上还有时间,指示什么时候门票到期,只要门票没有到期,你就可以随意进出动物园 嗯,这么长个例子,其实和Claim没什么关系 :) 门票上有什么?我们来假设一下 门票上有,姓名,票价,性别,地址,【等等身份证一...
跟着微软学ASP.NET Core(六)-Identity获取当前登陆用户
热门推荐
黑猫拉面
11-09 1万+
在使用了asp.net core 自带的Identity建立了项目,使得项目只带了一个带有登陆功能的项目.那么我们如何获取当前已登录的用户信息呢? 1.控制器引入 using Microsoft.AspNetCore.Identity; 2.使用UserManager&lt;IdentityUser&gt; private readonly UserManager&lt;Identi...
php 身份认证 claim,asp.net core cookie身份认证view视图读取/读取User.Claims的值实例...
weixin_34271305的博客
03-20 926
假设claim如下,q为查询出来的用户表结果集var claims = new List(){new Claim("UserId", q.Id.ToString()),new Claim(ClaimTypes.Name, q.UserName),new Claim(ClaimTypes.Role,q.UserGroup.GroupName),new Claim("RealName", q.Real...
使用ClaimsIdentity来实现登录授权
07-28 2249
背景:以前做登录时用的都是FormsAuthentication.SetAuthCookie(model.UID, IsRemeber),但是有一个不好,不能存储多个值,有时候我们既想存储登录用户的UID又想存储用户名,以前都是将两者拼接成字符串,用的时候在split出来,比较麻烦,现在用ClaimsIdentity就很方便。 1、登录时验证通过存储 ClaimsIdenti...
【.net framework基础之】claim
qq_41566366的博客
07-31 717
添加claim var claims = new List<Claim>(); //claims.Add(new Claim(ClaimTypes.Name, model.UserName)); claims.Add(new Claim("userName", model.UserName)); claims.Add(new Claim("member", model.Member)); 获取claim IEnumerable<Claim> claims = Http.
IdentityServer4 Identity Resourceuser Claim
张峰的博客
02-06 2774
Identity Resource 身份资源,里面的UserClaims是用户的一些属性,默认情况下,即使写再多的属性,token也只会返回sub一个,我们需要在代码加入 var builder = services.AddIdentityServer() .AddInMemoryIdentityResources(Config.GetIdentit...
理解ASP.NET Core验证模型 Claim, ClaimsIdentity, ClaimsPrincipal
weixin_30652271的博客
05-10 687
Claim, ClaimsIdentity, ClaimsPrincipal: Claim:姓名:xxx,领证日期:xxx ClaimsIdentity:身份证/驾照 ClaimsPrincipal:人 人(ClaimsPrincipal)拥有,身份证,驾照等证件(ClaimsIdentity),这些证件上有姓名等信息(Claim) 转载于:https://www.cnblogs.com/...
identityserver mysql_IdentityServer4-从数据获取User登录并对Claims授权验证(五)
weixin_33187773的博客
02-16 521
本节将在第四节基础上介绍如何实现IdentityServer4数据获取User进行验证,并对Claim进行权限设置。一、新建Web API资源服务,命名为ResourceAPI(1)新建API项目,用来进行user的身份验证服务。(2)配置端口为5001安装Microsoft.EntityFrameworkCore包安装Microsoft.EntityFrameworkCore.SqlServ...
jwt怎么获取当前登录用户_jwt - 如何在.NET Core Web API获取当前用户(来自JWT Token) - SO文参考 - www.soinside.com...
weixin_39860583的博客
12-19 1368
似乎很多人都在关注这个问题,所以我想分享一些我学习的信息,因为我不久前问过这个问题。它使一些事情变得更加清晰(至少对我来说)并且不那么明显(对我来说就像.NET新手一样)。正如MarcusHöglund在评论提到的那样:它应该与“web api”相同。在ASP.NET Core Mvc和Web Api合并使用相同的控制器。这绝对是真的,绝对正确。因为它在.NET和.NET Core都是一样的...
Asp.Net Core Identity 隐私数据保护的实现
01-20
Asp.Net Core IdentityAsp.Net Core 的重要组成部分,他为 Asp.Net Core 甚至其他 .Net Core 应用程序提供了一个简单易用且易于扩展的基础用户管理系统框架。它包含了基本的用户、角色、第三方登录、Claim等功能...
IdentityServer4-AspNetCore-Claim:AspNetCoreIdentityServer con AspNetIdentityCore-Claim-Autorize-JWT
05-14
IdentityServer4-AspNetCore-Claim 具有AspNetIdentityCore的AspNetCoreIdentityServer-索赔-自动进行-JWT 该项目正在建设,并且是如何基于IdentityServer + Asp.Net Identity实施用于管理授权的Claims的SSO的示例...
.net core 3.1 WepApi 前后分离身份验证及webapi调试demo ,jwt+swagger
04-14
所以在设计时候需要注意不要在JWT存储太多的claim,以避免发生巨大的,过度膨胀的请求。 无法作废已颁布的令牌 所有的认证信息都在JWT,由于在服务端没有状态,即使你知道了某个JWT被盗取了,你也没有办法将其...
NetCoreDemo:Asp.Net Core 3.x 博客同步应用案例Demo,包括微服务、IdentityServe4、消息队列等各种技术案例集成一起
04-14
Asp.Net Core IdentityServer4 的各种应用 密码授权模式(已完成) 刷新token 方式实现(已完成) 自定义授权模式(已完成) Claim 声明(已完成) 角色授权方式实现(已完成) Dapper 的实践应用 微服务的实践应用 ...
基于matlab实现的一种新型的配电网潮流计算,基于前推回代法
05-03
基于matlab实现的一种新型的配电网潮流计算,基于前推回代法,并附有10kv配电网数据,利用新的判别手段,成功解决配电网不收敛的问题.rar
node-v5.3.0.tar.xz
最新发布
05-03
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
ASP+ACCESS网上园林设计(源代码+设计说明书).zip
05-03
ASP+ACCESS网上园林设计(源代码+设计说明书).zip
2023-04-06-项目笔记 - 第一百二十二阶段 - 4.4.2.120全局变量的作用域-120 -2024.05.03
05-03
2023-04-06-项目笔记-第一百二十二阶段-课前小分享_小分享1.坚持提交gitee 小分享2.作业提交代码 小分享3.写代码注意代码风格 4.3.1变量的使用 4.4变量的作用域与生命周期 4.4.1局部变量的作用域 4.4.2全局变量的作用域 4.4.2.1全局变量的作用域_1 4.4.2.120全局变量的作用域_120 - 2024-05-03
js-cookie设置token过期时间_详解ASP.NET Core Web Api之JWT刷新Token_实用技巧
06-02
另外,关于ASP.NET Core Web Api之JWT刷新Token,我们可以通过设置Token过期时间,并在Token过期前刷新Token来实现。示例代码如下: ``` // 在Startup.cs设置Token认证 services.AddAuthentication(options => { ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值