Blazor.Server以正确的方式集成Ids4

最新推荐文章于 2024-04-25 22:46:54 发布
最新推荐文章于 2024-04-25 22:46:54 发布
阅读量1.6k 收藏 6
点赞数
原文链接:https://github.com/anjoy8/Blog.MVP.Blazor
版权

(一个真正的以后端形式来集成认证中心的方案)

本文导读

首先特别感谢张善友老师提供技术指导,源于上周我发了一篇文章

[Mvp.Blazor] 集成Ids4,实现统一授权认证》,

我本来是想通过像vue框架那样,通过引oidc-client.js的方式,来实现Ids4的集成问题,我当时以为已经很好的,后来看了张队发的文章以后,发现好像我写的那种方式并不优雅。

所以我又重新改了一次,(但是代码保留了,新建了对应的分支),以适应在Blazor服务端集成ids4的完美体验,如果你是wasm的项目,也不需要引用,张队已经写好了组件,大家看看引用下即可:

https://github.com/BlazorHub/AntDesignTemplate

那今天我就快速的给大家说一下,如何在Blazor服务端来设计和集成认证中心,当然里边会涉及一些基础知识点,我就不展开了,所以你自己需要先掌握以下知识储备:

Ids4配置授权码模式客户端

Razor page的On{handler}{Async}()语法

HttpContext.User基本使用

第一部分:配置认证方案

在上一篇文章中,我们主要是通过oidc-client.js的形式进行ids4的连接的。

但是我们的项目毕竟是服务端,Blazor服务端使用ids4,感觉和MVC还是有些相似的,都是基于Cookie的oidc认证模式。

认证中心配置下客户

你可以看到,基本就是和MVC配置是一样的,不仅认证中心的客户端配置很像,就连项目中,认证服务的注册的方式也是几乎一样:

引用nuget包

Microsoft.AspNetCore.Authentication.OpenIdConnect

startup中,注册认证服务

 // 第一步:配置认证方案
 services.AddAuthentication(options =>
 {
     options.DefaultScheme = "Cookies";
     options.DefaultChallengeScheme = "oidc";
 })
 .AddCookie("Cookies")
 .AddOpenIdConnect("oidc", options =>
 {
     options.Authority = "https://ids.neters.club/";
     options.ClientId = "blazorserver"; // 75 seconds
     options.ClientSecret = "secret";
     options.ResponseType = "code";
     options.SaveTokens = true;


     // 为api在使用refresh_token的时候,配置offline_access作用域
     options.GetClaimsFromUserInfoEndpoint = true;
     // 作用域获取
     options.Scope.Clear();
     options.Scope.Add("roles");//"roles"
     options.Scope.Add("rolename");//"rolename"
     options.Scope.Add("blog.core.api");
     options.Scope.Add("profile");
     options.Scope.Add("openid");


     options.Events = new OpenIdConnectEvents
     {
         // called if user clicks Cancel during login
         OnAccessDenied = context =>
         {
             context.HandleResponse();
             context.Response.Redirect("/");
             return Task.CompletedTask;
         }
     };
 });

相应的注释,我简单的写了写,当然文章的开篇我也说了,这一块属于ids4的基础部分,以前的文章和视频说了很多了,以后我就不打算讲解了。

重点是要配置那几个Scope作用域,然后可以看到有ids4的授权页面,当然,这个页面也可以屏蔽掉不显示。

注册好了服务,那肯定是要开启中间件了:

开启中间件

app.UseAuthentication();

第二部分:登录、登出的页面设计

这里我们使用到了Razor的Page功能,添加登录和登出功能,具体的使用方法可以在微软官网查看,相应的代码很简单:

登录、登出

 // 这里用到了缓存来管理我们的用户登录信息,下文会讲到
 // 第二部分: 配置razor page,定义登录,登出等逻辑
 public class _HostAuthModel : PageModel
    {
        public readonly AuthStateCache Cache;


        public _HostAuthModel(AuthStateCache cache)
        {
            Cache = cache;
        }


        // 每次刷新页面异步加载
        public async Task<IActionResult> OnGet()
        {
            System.Diagnostics.Debug.WriteLine($"\n_Host OnGet IsAuth? {User.Identity.IsAuthenticated}");


            // 判断Httpcontext是否登录状态
            if (User.Identity.IsAuthenticated)
            {
                var sid = User.Claims
                    .Where(c => c.Type.Equals("sid"))
                    .Select(c => c.Value)
                    .FirstOrDefault();


                System.Diagnostics.Debug.WriteLine($"sid: {sid}");


                // 如果缓存中不存在
                if (sid != null && !Cache.HasSubjectId(sid))
                {
                    var authResult = await HttpContext.AuthenticateAsync("oidc");
                    DateTimeOffset expiration = authResult.Properties.ExpiresUtc.Value;
                    string accessToken = await HttpContext.GetTokenAsync("access_token");
                    string refreshToken = await HttpContext.GetTokenAsync("refresh_token");
                    Cache.Add(sid, expiration, accessToken, refreshToken);
                }
            }


            return Page();
        }


        // 登录
        public IActionResult OnGetLogin()
        {
            System.Diagnostics.Debug.WriteLine("\n_Host OnGetLogin");
            var authProps = new AuthenticationProperties
            {
                IsPersistent = true,
                // 设置token的过期时间,相当于前端的localstorage
                ExpiresUtc = DateTimeOffset.UtcNow.AddHours(1),
                RedirectUri = Url.Content("~/")
            };


            // 认证中心登录
            return Challenge(authProps, "oidc");
        }


        // 登出
        public async Task OnGetLogout()
        {
            System.Diagnostics.Debug.WriteLine("\n_Host OnGetLogout");
            var authProps = new AuthenticationProperties
            {
                RedirectUri = Url.Content("~/")
            };
            await HttpContext.SignOutAsync("Cookies");
            await HttpContext.SignOutAsync("oidc", authProps);
        }
    }

代码中,我已经增加了相应的注释信息,你应该能看的明白。

只不过具体的写法有些小伙伴可能没用过RazorPage,这里简单的说一下:

因为我们的Index页面没有绑定任何数据,所以这里基本上只继承了PageModel,OnGet方法是个约定,查看mvc的源码你会发现它会获取On{handler}{Async}()。比如OnGet,它会在Get Index的时候被执行,我们可以通过这个约定进行数据绑定,这里知道下在Razor Page下HttpMethod也是一个handler,所以Razor Page的处理方式是通过handler进行的。

为了实现这个效果,我们还需要配置主页面_Host.cshtml的路由:

@page "/{handler?}"

你可能会好奇,那既然要使用到认证中心了,为啥还需要登录登出呢,其实客户端都是需要的,不信你用mvc项目,也需要配置的。

权限组件

Blazor自带了相应的授权组件,可以很好的帮助我们来实现对权限的控制,只需要在App.razor中:

@inject NavigationManager NavManager


<Router AppAssembly="@typeof(Program).Assembly">
    <Found Context="routeData">
        <AuthorizeRouteView RouteData="@routeData" DefaultLayout="@typeof(MainLayout)">
            <NotAuthorized>
                @{
                    // 使用权限组件,如果当然组件配置Authorize,并且用户未登录,则跳转登录页(这里是ids4)
                    NavManager.NavigateTo("/Login", true);
                }
            </NotAuthorized>
            <Authorizing>
                <h1>Authentication in progress</h1>
                <p>Only visible while authentication is in progress.</p>
            </Authorizing>
        </AuthorizeRouteView>
    </Found>
    <NotFound>
        <CascadingAuthenticationState>
            <LayoutView Layout="@typeof(MainLayout)">
                <h1>Sorry</h1>
                <p>Sorry, there's nothing at this address.</p>
            </LayoutView>
        </CascadingAuthenticationState>
    </NotFound>
</Router>

大概意思就是,我们可以指定我们的razor页面是否需要加权,如果不配置,那就是很正常的浏览,比如我们的博客index首页,肯定不能加权,除非是后台管理系统,那就需要每个页面都加权了,配置好后,如果用户未登录,那就会立刻跳转到上边我们配置的登录地址,跳转到认证中心。

那如何对特定页面加权呢,很简单。

razor页面加权

只需要在需要的页面内增加特性即可:

@attribute [Authorize]

展示用户状态

刚刚上边我们已经配置好了用户登录和登出接口,也对页面进行了加权,用来引导用户去认证中心登录,或者单点登录,拉取用户信息,那如何展示呢?

很简单,在主页面_Host.cshtml中,使用User属性来实现:

@model _HostAuthModel


 @if (User.Identity.IsAuthenticated)
 {
     <div id="logined" style="display: contents;">
         <div class="menu-item my-2 my-md-0 mr-md-3 dropdown">
             <button type="button" class="btn btn-primary dropdown-toggle" data-toggle="dropdown">
                 设置 - <span id="username">@(userName) </span>
             </button>
             <div class="dropdown-menu">


             </div>
         </div>
         <a class="menu-item my-2 btn btn-outline-primary" href="/logout">注销</a>
     </div>
 }
 else
 {
     <div id="accessed">
         <a class="menu-item my-2 btn btn-outline-primary" href="/login">登入</a>
     </div>
 }

具体的代码看我的项目即可。

那到了这里,我们已经完成了Blazor服务端如何集成ids4的代码,不过这样还是有些问题的,比如:

如果获取access_token来访问第三方的资源服务器api呢?

第三部分:管理用户授权状态

之前我们用js方法的时候,还记得吗,我们使用的是localstorage的形式,存在了客户端,包括用户信息,令牌,过期时间等等,然后通过JSRuntime来实现对js的控制和使用,那今天我们不用js了,如何来管控呢,我这里用的是内存缓存的形式,当然你可以使用Redis来实现分布式,思路都一样。

用户数据存储cache

在上边的登录的时候,我们看到了,每次登录成功回调的时候,都会刷新页面,也当然会执行OnGet()方法,这样,就会把当然用户的信息,通过特定的sid作为缓存key的形式来保存到内存里,这个sid就像是session一样,每次登录成功回调后,都会有一个唯一的字符串,作为标识,开发过微信的应该都知道。

那就定义一个cache管理类:

    public class AuthStateCache
    {
        private ConcurrentDictionary<string, ServerAuthModel> Cache
            = new ConcurrentDictionary<string, ServerAuthModel>();


        public bool HasSubjectId(string subjectId)
            => Cache.ContainsKey(subjectId);


        public void Add(string subjectId, DateTimeOffset expiration, string accessToken, string refreshToken)
        {
            System.Diagnostics.Debug.WriteLine($"Caching sid: {subjectId}");


            var data = new ServerAuthModel
            {
                SubjectId = subjectId,
                Expiration = expiration,
                AccessToken = accessToken,
                RefreshToken = refreshToken
            };
            Cache.AddOrUpdate(subjectId, data, (k, v) => data);
        }


        public ServerAuthModel Get(string subjectId)
        {
            Cache.TryGetValue(subjectId, out var data);
            return data;
        }


        public void Remove(string subjectId)
        {
            System.Diagnostics.Debug.WriteLine($"Removing sid: {subjectId}");
            Cache.TryRemove(subjectId, out _);
        }
    }

这个很简单,就不多说了,就是对用户数据的增删改查,标识就是sid。那现在就有了一个问题,我们知道,登录的时候是存到cache里的,那什么时候删除呢?

请往下看。

AuthenticationStateProvider 服务

这个服务是今天的重头戏,你需要好好的了解一下它的作用:

内置的 AuthenticationStateProvider 服务可从 ASP.NET Core 的 HttpContext.User 获取身份验证状态数据。 身份验证状态就是这样与现有 ASP.NET Core 身份验证机制集成。

AuthenticationStateProvider 服务可以提供当前用户的 ClaimsPrincipal 数据。

简单的概况呢,就是开启这个服务,我们可以获取当前用户的claim声明,并且定期的做一个筛查,就像是一个定时器,每十秒执行一次,判断当前用户是否过期,如果正好过期了,就把这个cache记录给删掉。

  /// <summary>
    /// 配置状态服务处理器,定时校验授权状态
    /// RevalidationInterval为刷新时间,类似于滑动时间
    /// </summary>
    public class AuthStateHandler 
        : RevalidatingServerAuthenticationStateProvider
    {
        private readonly AuthStateCache Cache;


        public AuthStateHandler(
            ILoggerFactory loggerFactory,
            AuthStateCache cache)
            : base(loggerFactory)
        {
            Cache = cache;
        }


        protected override TimeSpan RevalidationInterval
            => TimeSpan.FromSeconds(10); // TODO read from config


        protected override Task<bool> ValidateAuthenticationStateAsync(AuthenticationState authenticationState, CancellationToken cancellationToken)
        {
            var sid =
                authenticationState.User.Claims
                .Where(c => c.Type.Equals("sid"))
                .Select(c => c.Value)
                .FirstOrDefault();


            if (sid != null && Cache.HasSubjectId(sid))
            {
                var data = Cache.Get(sid);


                System.Diagnostics.Debug.WriteLine($"NowUtc: {DateTimeOffset.UtcNow.ToString("o")}");
                System.Diagnostics.Debug.WriteLine($"ExpUtc: {data.Expiration.ToString("o")}");


                if(DateTimeOffset.UtcNow >= data.Expiration)
                {
                    System.Diagnostics.Debug.WriteLine($"*** EXPIRED ***");
                    Cache.Remove(sid);
                    return Task.FromResult(false);
                }
            }
            else
            {
                System.Diagnostics.Debug.WriteLine($"(not in cache)");
            }


            return Task.FromResult(true);
        }
    }

思路就是这样,自己应该能看明白,就是定时做了一个判断,然后删除cache。

服务注册容器

把上边的两个服务注册下:

 // 第三部分:授权状态的保护与管理
 services.AddSingleton<AuthStateCache>();
 // 开启AuthenticationStateProvider 服务
 services.AddScoped<AuthenticationStateProvider, AuthStateHandler>();

第四部分:获取token,访问api

这一块和之前的逻辑是一样的,通过HttpClient来实现对第三方资源服务器的api访问,那肯定需要获取token,这个就从上边的cache中获取:

 public async Task<string> GetAccessToken()
 {
     // 注意这获取声明数据有问题,参考我的代码。获取当前用户的sid唯一标志
     var sid = _accessor.HttpContext.User.Claims
            .Where(c => c.Type.Equals("sid"))
            .Select(c => c.Value)
            .FirstOrDefault();


     // 正常,则返回结果
     if (sid != null && _cache.HasSubjectId(sid))
     {
         return _cache.Get(sid).AccessToken;
     }


     // 否则,跳转登录页,去认证中心拉取
     _navigationManager.NavigateTo("/Login", true);


     return await Task.FromResult(string.Empty);
 }

到了这里,我们的Blazor.Server服务端集成Ids4已经完成了,是不是完全没用到任何的js,来查看下效果吧:

可以看到完成了这样的流程:

首页不需要权限;

博客操作页需要登录,并成功跳转认证中心;

登录后,成功回调到首页,并获取用户信息;

实现单点登录;

编辑的时候,test用户返回Forbidden,表明已经登录,并实现了权限控制;

好啦,自己动手试试吧。

参考文章:

1、https://mcguirev10.com/2019/12/15/blazor-authentication-with-openid-connect.html

2、https://github.com/BlazorHub/AntDesignTemplate

dotNET跨平台
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
BlazorIdentityServer4集成(五)
六十五号腕
09-16 1139
保护你的Web Api 前面几篇集成BlazorIdentityServer,完成了登录以及指定页面的授权操作。本篇来实现与Web Api的集成,当然主要还是Web Api的认证操作。 在MVC模式下,通常是借助Cookie,但是Web Api更主流的还是借助Access Token(尤其是Json Web Token),具体的概念这里就不展开说了。 结合IdentityServer的例子,具体流程如下: Blazor通过IdentityServer完成登录。 BlazorIdentitySer.
master and slave have equal MySQL server ids
09-10
在配置过程中,如果遇到"master and slave have equal MySQL server ids"这样的错误,意味着主服务器和从服务器的`server_id`配置相同,这是不允许的,因为每个MySQL实例的`server_id`必须是唯一的,以便正确地进行...
[Mvp.Blazor] 集成Ids4,实现统一授权认证
dotNET跨平台
06-29 1552
(又一个客户端集成IdentityServer4)还是很开心的,目前已经有六个开源项目都集成到了Ids4认证中心了。1、Blazor系列文章回顾书接上文,关于Blazor学习呢,我也发...
具有基于Cookie的身份验证和Microsoft标识的Blazor WASM托管应用
最新发布
寒冰屋的专栏
04-25 100
本文适用于那些有兴趣构建支持身份验证的Blazor WASM托管应用并希望使用Microsoft标识而不是使用IdentityServer或任何其他OpenID兼容服务的用户。
Blazor Server 的登录与退出(一)
luwq168的专栏
07-08 4973
如果自学Blazor ,因为增加了许多知识点,有许多问题会是一头雾水,难以理清。Blazor Server 的登录与退出就是一个非常难以理清的问题,因为我有强迫症,既然用了Blazor,我难道又要退回去用Razor Page?新建立的Blazor Server程序,使用Identity的个人标识账户,它的登录与退出默认使用的是Razor Page,因为它能非常清晰地得到ClaimsPrincipal 的User,和不支持Razor组件,特别是所以想抛开Razor Page,它的登录与退出只能另想办法,好像一
Blazor入门100天 : 身份验证和授权 (1) - 建立带身份验证工程
alex_zoucn的博客
02-18 1790
欢迎转载、使用、重新发布,但务必保留文章署名AlexChow,不得用于商业目的,基于本文修改后的作品务必以相同的许可发布。本文来自博客园,作者:周创琳 AlexChow,转载请注明原文链接.Maui Blazor 中文社区 QQ群:645660665。BA & Blazor QQ群:795206915。FreeSql QQ群:4336577。作为IDS数据库连接。
Blazor Server 的登录与退出(二)
luwq168的专栏
08-26 1731
注意:Key要求有一定的长度,建议复制新生成的Guid.NewGuid().ToString();上篇已经实现了登录与退出的主服务类,其他还需要一些具体的东西。1、引用Blazored.LocalStorage包;7、登录Razor组件(略)。注意:需要注册服务。...
ids.rar_Anomaly Detection_IDS anomaly_ids
09-24
标题中的“ids.rar_Anomaly Detection_IDS anomaly_ids”暗示了我们关注的主题是关于入侵检测系统(Intrusion Detection System, IDS)以及异常检测在该领域中的应用。异常检测是一种识别网络或系统中不寻常行为的...
Office2010ControlIDs.zip
07-20
"Office2010ControlIDs.zip"这个压缩包文件很可能包含有关于在Microsoft Office 2010环境中,使用C#和VSTO进行控件识别和交互的详细信息。在本文中,我们将深入探讨这些关键知识点。 C#是一种面向对象的编程语言,...
hid-ids.rar_hid-ids
09-23
标题中的“hid-ids.rar_hid-ids”暗示了这是一个与USB HID(Human Interface Device)设备相关的资源,可能是一个源代码包或驱动程序更新。HID是USB设备类规范的一部分,用于定义键盘、鼠标、游戏控制器和其他输入/...
德国IDS最新产品手册.pdf
12-21
德国IDS最新产品手册.pdf
BlazorStarter:Blazor Server演示应用程序,展示了我的所有技术和数据访问方法
02-28
此仓库给出了我在某种实际应用程序上下文中正在使用的所有Blazor Server技术的示例。 我正在做的大多数事情都是封闭的,但是我想分享很多。 这个项目给了我一个这样做的地方。 第一次运行它时,系统会提示您在本地数据库中注册一个用户帐户。 这使用标准的ASP.NET身份,但是最初的数据库创建是本地方法。 创建帐户,应用迁移并确认您的帐户后,您应该在首页上看到以下消息: 单击该“应用更新”按钮,您应该看到以下内容:
[Asp.Net Core]用Blazor Server Side实现图片验证码
12-17
关于Blazor 由于在国内, Blazor一点都不普及, 在阅读此文前, 建议读者先翻看我之前写的随笔, 了解Blazor Server Side的特点. 在一段时间内, 我会写一些解说分析型的 “为什么选择 Blazor Server Side” , 在适当的时候再写快速入门系列.(无论是针对编程新学者还是多年经验人士) 验证码 我们很多场合都实现过图片验证码. 图片验证码的主要关键是呈现图片, 需要一个URL, 而这个URL需要传递参数以确定显示什么东西. 这个验证码如何在服务器保存, 如何传递一个参数公开给客户端, 还不能让别人解密这个参数破解验证码, 都是麻烦事 这个例子是讲述如何
IDS.rar_ids
09-20
在"IDS.rar_ids"这个压缩包中,包含了一个名为"IDS.java"的文件,我们可以推测这可能是一个用Java语言编写的IDS系统的源代码。 IDS系统主要由以下几个关键知识点组成: 1. **数据收集**:IDS首先需要收集网络流量...
perl-NIDS.rar_NIDS_ids
09-23
标题 "perl-NIDS.rar_NIDS_ids" 暗示了这是一个关于网络入侵检测系统(Network Intrusion Detection System,NIDS)的项目,其中使用Perl编程语言实现。Perl是一种功能强大的脚本语言,常用于文本处理和系统管理任务...
ng-auth-ids4-server-app
02-20
标题 "ng-auth-ids4-server-app" 暗示我们正在讨论一个基于Angular的认证应用,它集成Identity Server 4(IDS4)作为身份验证和授权服务。这个项目可能是为了帮助开发者创建安全的单页应用程序(SPA),利用OAuth ...
ids4IdentityServer4+API+Blazor部署到服务器,授权地址千万不要写localhost
GreAmbWang的博客
06-26 748
废话 最近在部署问题上踩了大坑,记录一下 公司的一个小项目,IdentityServer4+API+Blazor,做了几天时间,终于到部署阶段 中间部署过程省略一万字... 记录各种问题: 【ids4IdentityServer4报错,well-known/openid-configuration: HTTPS required 【IIS】.NetCore项目 Blazor 部署到IIS服务器的一些注意项,好多模块需要下载安装 【Windows】无法启动此程序,因为计算机中丢失 api-ms
Ocelot网关+Consul服务注册发现+Core WebApi+gRPC+IdentityServer4+MongoDB、Redis、RabbitMQ
12-25 419
计划写微信小程序商城,后端用微服务 设计技术 Ocelot网关+Consul服务注册发现+Core WebApi+gRPC+IdentityServer4+MongoDB、Redis、RabbitMQ docker
Blazor Json Web Token 身份验证与授权
flyingdream123的专栏
07-28 4677
Blazor 身份验证与授权 身份验证 Blazor Server应用和 Blazor WebAssembly 应用的安全方案有所不同。 Blazor WebAssembly Blazor WebAssembly 应用在客户端上运行。 由于用户可绕过客户端检查,因为用户可修改所有客户端代码, 因此授权仅用于确定要显示的 UI 选项,所有客户端应用程序技术都是如此。 Blazor Server Blazor Server应用通过使用 SignalR 创建的实时连接运行。 建立连接后,将处理基于 Sig
java.lang.IllegalArgumentException - requirement failed: Ids should not be null
12-02
根据提供的引用内容,我们无法确定具体的代码实现和出现异常的位置。但是,根据异常信息 java.lang.IllegalArgumentException - requirement failed: Ids should not be null,我们可以推断出在某个方法中,参数Ids为null,而该参数不允许为null,因此抛出了IllegalArgumentException异常。 为了解决这个问题,我们需要检查代码中使用到Ids参数的方法,并确保在调用该方法时,Ids参数不为null。如果Ids参数是必须的,我们可以在方法中添加判断语句,如果Ids为null,则抛出IllegalArgumentException异常或者给出合适的默认值。 另外,根据引用中的内容,我们可以看到在编写代码时,应该避免使用类似于“<---- don't do this!!!!”这样的注释,因为这样的注释不仅没有提供有用的信息,而且还会让代码变得混乱和难以阅读。 --相关问题--: 1. Java中常见的异常有哪些? 2. 如何避免在Java中出现空指针异常? 3. 如何在Java中处理异常

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值