使用Identity Server 4建立Authorization Server (6) - js(angular5) 客户端

最新推荐文章于 2024-08-13 08:30:49 发布
最新推荐文章于 2024-08-13 08:30:49 发布
阅读量1.8k 收藏 1
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sD7O95O/article/details/78653970
版权
本文介绍了如何使用Identity Server 4建立Authorization Server,并着重讲解了如何配置Angular 5客户端,利用oidc-client.js进行身份验证。内容包括ApiResource、Client、IdentityResource的配置,以及前端应用的登录流程、自动刷新Token的实现。同时,提供了项目代码链接和oidc-client的官方文档参考。
摘要由CSDN通过智能技术生成

预备知识: 学习Identity Server 4的预备知识

第一部分: 使用Identity Server 4建立Authorization Server (1)

第二部分: 使用Identity Server 4建立Authorization Server (2)

第三部分: 使用Identity Server 4建立Authorization Server (3)

第四部分: 使用Identity Server 4建立Authorization Server (4)

第五部分: 使用Identity Server 4建立Authorization Server (5)

由于手头目前用项目, 所以与前几篇文章不同, 这次要讲的js客户端这部分是通过我刚刚开发的真是项目的代码来讲解的.

这是后端的代码: https://github.com/solenovex/asp.net-core-2.0-web-api-boilerplate

这里面有几个dbcontext, 需要分别对Identity Server和Sales.DataContext进行update-database, 如果使用的是Package Manager Console的话.

进行update-database的时候, 如果是针对IdentityServer这个项目的要把IdentityServer设为启动项目, 如果是针对Sales.DataContext的, 那么要把SalesApi.Web设为启动项目, 然后再进行update-database.

项目结构如图:

目前项目只用到AuthorizationServer和Sales这两部分.

首先查看AuthorizationServer的相关配置: 打开Configuration/Config.cs

ApiResource:

public static IEnumerable<ApiResource> GetApiResources()
{        
     return new List<ApiResource>
            {   
                new ApiResource(CoreApiSettings.ApiResource.Name, CoreApiSettings.ApiResource.DisplayName) { },                new ApiResource(SalesApiSettings.ApiResource.Name, SalesApiSettings.ApiResource.DisplayName) {
                    UserClaims = { JwtClaimTypes.Name, JwtClaimTypes.PreferredUserName, JwtClaimTypes.Email }
                }
            };
 }


红色部分是相关代码, 是所需要的ApiResource的定义. 

其中需要注意的是, 像user的name, email等这些claims按理说应该可以通过id_token传递给js客户端, 也就是IdentityResource应该负责的. 但是我之所以这样做是因为想把这些信息包含在access_token里面, 以便js可以使用包含这些信息的access_token去访问web api, 这样 web api就可以直接获得到当前的用户名(name), email了. 标准的做法应该是web api通过访问authorization server的user profile节点来获得用户信息, 我这么做就是图简单而已.

所以我把这几个claims添加到了ApiResource里面. 

配置好整个项目之后你可以把 name 去掉试试, 如果去掉的话, 在web api的controller里面就无法取得到user的name了, 因为js收到的access token里面没有name这个claim, 所以js传给web api的token里面也没有name. 这个一定要自己修改下试试.

然后配置Client:

public static IEnumerable<Client> GetClients()
{       
      return new List<Client>
            {                // Core JavaScript Client
                new Client
                {
                    ClientId = CoreApiSettings.Client.ClientId,
                    ClientName = CoreApiSettings.Client.ClientName,
                    AllowedGrantTypes = GrantTypes.Implicit,
                    AllowAccessTokensViaBrowser = true,

                    RedirectUris =           { CoreApiSettings.Client.RedirectUri, CoreApiSettings.Client.SilentRedirectUri },
                    PostLogoutRedirectUris = { CoreApiSettings.Client.PostLogoutRedirectUris },
                    AllowedCorsOrigins =     { CoreApiSettings.Client.AllowedCorsOrigins },

                    AllowedScopes =
                    {
                        IdentityServerConstants.StandardScopes.OpenId,
                        IdentityServerConstants.StandardScopes.Profile,
                        IdentityServerConstants.StandardScopes.Email,
                        CoreApiSettings.ApiResource.Name
                    }
                },                // Sales JavaScript Client
                new Client
                {
                    ClientId = SalesApiSettings.Client.ClientId,
                    ClientName = SalesApiSettings.Client.ClientName,
                    AllowedGrantTypes = GrantTypes.Implicit,
                    AllowAccessTokensViaBrowser = true,
                    AccessTokenLifetime = 60 * 10,
                    AllowOfflineAccess = true,
                    RedirectUris =           { SalesApiSettings.Client.RedirectUri, SalesApiSettings.Client.SilentRedirectUri },
                    PostLogoutRedirectUris = { SalesApiSettings.Client.PostLogoutRedirectUris },
                    AllowedCorsOrigins =     { SalesApiSettings.Client.AllowedCorsOrigins },
                    //AlwaysIncludeUserClaimsInIdToken = true,
                    AllowedScopes =
                    {
                        IdentityServerConstants.StandardScopes.OpenId,
                        IdentityServerConstants.StandardScopes.Profile,
                        IdentityServerConstants.StandardScopes.Email,
                        SalesApiSettings.ApiResource.Name,
                        CoreApiSettings.ApiResource.Name
                    }
                }
            };
        }

红色部分是相关的代码.

AccessTokenLifeTime是token的有效期, 单位是秒, 这里设置的是 10 分钟.

AlwaysIncludeUserClaimsInIdToken默认是false, 如果写true的话, 那么返回给客户端的id_token里面就会有user的name, email等等user相关的claims信息.

然后是IdentityResource:

public static IEnumerable<IdentityResource> GetIdentityResources()
        {         
    return
最低0.47元/天 解锁文章
dotNET跨平台
关注
基于OIDC(OpenID Connect)的SSO(纯JS客户端
dotNET跨平台
12-02 7875
在上一篇基于OIDC的SSO的中涉及到了4个Web站点: oidc-server.dev:利用oidc实现的统一认证和授权中心,SSO站点。 oidc-client-hybrid.dev:oidc的一个客户端,采用hybrid模式。 oidc-client-implicit.dev:odic的另一个客户端,采用implicit模式。 oidc-client-js.dev
angular 接入 IdentityServer4
dotNET跨平台
06-26 705
angular 接入 IdentityServer4Intro最近把活动室预约的项目做了一个升级,预约活动室需要登录才能预约,并用 IdentityServer4 做了一个统一的登录注册...
oidc-client-js 教程
最新发布
gitblog_00962的博客
08-13 339
oidc-client-js 教程 oidc-client-jsOpenID Connect (OIDC) and OAuth2 protocol support for browser-based JavaScript applications项目地址:https://gitcode.com/gh_mirrors/oi/oidc-client-js 1. 项目介绍 oidc-client-js...
asp.net core 2.0 web api + Identity Server 4 + angular 5 可运行前后台源码
weixin_34293141的博客
03-17 228
前台使用angular 5, 后台是asp.net core 2.0 web api + identity server 4. 从头编写asp.net core 2.0 web api 基础框架: 第1部分:http://www.cnblogs.com/cgzl/p/7637250.html 第2部分:http://www.cnblogs.com/cgzl/p/7640077.html ...
Angular SPA基于Ocelot API网关与IdentityServer4的身份认证与授权(一)
dotNET跨平台
03-18 544
好吧,这个题目我也想了很久,不知道如何用最简单的几个字来概括这篇文章,原本打算取名《Angular单页面应用基于Ocelot API网关与Identit...
关于 IdentityServer 部署到生产环境相关问题踩坑记录
weixin_34198797的博客
03-07 2449
Idsr 定义了几种模式适用于不同的场景: // // 摘要: // OpenID Connect flows. public enum Flows { // // 摘要: // authorization code flow AuthorizationCo...
ng-auth-ids4-server-app
02-20
标题 "ng-auth-ids4-server-app" 暗示我们正在讨论一个基于Angular的认证应用,它集成了Identity Server 4(IDS4)作为身份验证和授权服务。这个项目可能是为了帮助开发者创建安全的单页应用程序(SPA),利用OAuth ...
angular蚂蚁_angular api文档
weixin_40005542的博客
12-20 881
AngularJS 中的友好 URL —— 移除URL 中的 # 【已翻译100%】AngularJS 默认将会使用一个 # 号来对URL进行路由.例如:http://example.com/http://example.com/#/abouthttp://example.com/#/contact要获得干净的URL并将井号从URL中移除是很容易的.完成两件事情就...文章青衫无名2017-06-...
IdentityServer4之Implicit和纯前端好像很配哦
zyq025的专栏
01-30 446
前言 上一篇Resource Owner Password Credentials模式虽然有用户参与,但对于非信任的第三方的来说,使用这种模式是有风险的,所以相对用的不多;这里接着说说implicit隐式模式,这种模式比较适合于纯前端客户端,比如Vue、Angular、React项目等,相对来说整个流程比较安全,只需在认证服务器进行认证即可,无需在客户端进行相关隐私信息录入,但前提是要客户端保证安全,不然容易被别人钓鱼(安全很重要),那IdentityServer4不背这个锅。 正文 既然有用户参与,
从Client应用场景介绍IdentityServer4(四)
li123128的博客
12-26 603
  上节以对话形式,大概说了几种客户端授权模式的原理,这节重点介绍Hybrid模式在MVC下的使用。且为实现IdentityServer4从数据库获取User进行验证,并对Claim进行权限设置打下基础(第五节介绍)。      本节内容比较多,且涉及一、二节的内容,如有不懂,可先熟悉一、二节知识。      一、新建授权服务,命名为AuthServer      (1)新建Web API项目,不...
vue项目使用oidc-client实现单点登陆
qq_43340606的博客
07-06 4750
1. 安装oidc-client 2. 单点登录所需配置项:oidc.js 3. 我们需要在路由钩子页面增加判断,如果没有token,则重定向到服务器进行单点登录 这个是我自己的项目这样用router钩子来判断权限,如果你们没有用到也没关系,忽略掉router,直接执行else中的内容,如果没有token,页面会跳转到服务器进行登录3、下面是登录完成后会回到我们系统中的操作 4、执行回调后,跳转到home页面(系统首页),至此整体流程结束。 源码地址: https://git
Spring Authorization Server1.0 介绍与使用
言午玉口才
12-24 7631
authorizationConsentService:关于OAuth2AuthorizationConsent信息的处理(入库)jwkSource()、generateRsaKey()、jwtDecoder:关于token生成规则的处理authorizationServerSettings:关于AuthorizationServerSettings【授权服务器】的配置,含路径及接口。此处需要注意编码器的注入,配置不当会影响授权码的账号密码输入,获取不到code值。需要拓展的根据自己的需求拓展。
Spring Authorization Server 配置模型
semicolon_hello的专栏
02-20 1134
DEFAULT_JWT_VALIDATOR_FACTORY是为指定的RegisteredClient提供OAuth2TokenValidator<JWT>的默认工厂,用于验证JWT客户端断言的iss、sub、aud、exp和nbf声明。
Vue + Volo.Abp 实现OAuth2.0客户端授权模式认证
jevonsflash的专栏
07-07 1798
只需要清除vuex或Cookies中的token即可,可以调用vue-oidc-client的signOut,但只是跳转到配置的登出地址,不会清除token(前提是redirectAfterSignout为true,并设置了post_logout_redirect_uri)创建continue/index.vue,简单的显示登录成功的提示,常用的提示有“登录成功,正在为您继续”,“登录成功,正在为您跳转”等友好提示。(D)客户端收到授权码,附上早先的"重定向URI",向认证服务器申请令牌。
vue-配置多环境
码农的专栏
10-05 858
创建my-project项目: vue create my-project 大家发现,它建议我使用淘宝镜像,那我们接受,继续操作,可能需要几分钟,安装完镜像后 vue create my-project 生成的项目结构: 安装完这个后,以后我们就可以使用cnpm install 来替换之前的npm install 新增:.env.development VUE_AP......
vue+vant (redirect_uri 域名与后台配置不一致 10003)
你好!刘斩仙
04-24 1148
重要的事情说三遍!!! AppID+网页授权域名,一定要和后台配置的一样!!! AppID+网页授权域名,一定要和后台配置的一样!!! AppID+网页授权域名,一定要和后台配置的一样!!! 切记!我遇到这个问题是,因为我原本配置的公众号被作为正式环境,新开的测试公众号。我用新公众号appid打包,一直报这个错,java后台没有修改appid。so,不管你的网页放在那个公众号,只要你和java后台...
Spring Authorization Server入门 (九) Spring Boot引入Resource Server对接认证服务
云逸的博客
06-13 2706
书接上文,本次来对接一下资源服务,在本篇文章中会带领大家去构建一个资源服务器,通过注解校验token中的权限,怎么放行一个接口,使其不需要认证也可访问。
spring-boot-starter-oauth2-authorization-server 3.1.0 简单使用
06-03
`spring-boot-starter-oauth2-authorization-server`是Spring Boot提供的OAuth2认证服务器的Starter,可以用于构建安全的OAuth2认证授权服务器。 以下是使用`spring-boot-starter-oauth2-authorization-server`构建...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值