IdentityServer4实战:四种授权模式

最新推荐文章于 2024-08-18 10:09:30 发布
最新推荐文章于 2024-08-18 10:09:30 发布
阅读量1.8k 收藏 2
点赞数
原文链接:https://limitcode.com/detail/606d61e8d9118c3cd416878c.html
版权

前言

本篇所讲案例代码全部由上篇《IdentityServer4实战:快速入门》修改而来。

客户端模式

客户端模式只对客户端进行授权,不涉及到用户信息。如果你的api需要提供到第三方应用,第三方应用自己做用户授权,不需要用到你的用户资源,就可以用客户端模式,只对客户端进行授权访问api资源。 这是一种最简单的模式,只要client请求,我们就将AccessToken发送给它。这种模式是最方便但最不安全的模式。因此这就要求我们对client完全的信任,而client本身也是安全的

定义 Client

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

new Client

                    {

                        ClientId = "client1",

 

                        // 没有交互性用户,使用 clientid/secret 实现认证。

                        AllowedGrantTypes = GrantTypes.ClientCredentials,

 

                        // 用于认证的密码

                        ClientSecrets =

                        {

                            new Secret("secret".Sha256())

                        },

                        // 客户端有权访问的范围(Scopes)

                        AllowedScopes = { "api1" }

                    }

POSTMan 测试

用户名密码模式

需要客户端提供用户名和密码,密码模式相较于客户端凭证模式。通过User的用户名和密码向Identity Server申请访问令牌。  这种方式需要用户给出自己的用户名/密码,显然风险很大,因此只适用于其他授权方式都无法采用的情况,而且必须是用户高度信任的应用。

定义 Client

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

new Client

                    {

                        ClientId = "client2",

 

                        //  用户名 密码 模式

                        AllowedGrantTypes = GrantTypes.ResourceOwnerPassword,

 

                        // 用于认证的密码

                        ClientSecrets =

                        {

                            new Secret("secret".Sha256())

                        },

                        // 客户端有权访问的范围(Scopes)

                        AllowedScopes = { "api1" }

                    }

定义 用户资源

1

2

3

4

5

6

7

8

9

10

11

12

public static List<TestUser> GetTestUsers()

        {

            return new List<TestUser>

            {

                new TestUser

                {

                    SubjectId="1",

                    Username="admin",

                    Password="123456"

                }

            };

        }

注册 用户资源

1

2

3

4

5

6

7

8

9

public void ConfigureServices(IServiceCollection services)

        {

            services.AddIdentityServer()

                .AddDeveloperSigningCredential()

                .AddInMemoryClients(Startup.GetClients())

                .AddInMemoryApiScopes(Startup.GetApiScopes())

                .AddTestUsers(Startup.GetTestUsers())

                ;

        }

POSTMan 测试

隐藏式 (implicit)

有些 Web 应用是前后端分离的纯前端应用,没有后端。这时就必须将令牌储存在前端。 这种方式没有授权码这个中间步骤,所以称为(授权码)"隐藏式"(implicit)。

隐藏式的认证步骤为:

第一步,A 网站提供一个链接,要求用户跳转到 认证中心,授权用户数据给 A 网站使用。

第二步,用户跳转到 认证中心,登录后同意给予 A 网站授权。这时,认证中心就会跳回redirect_uri参数指定的跳转网址,并且把令牌作为 URL 参数,传给 A 网站。

 

注意,令牌的位置是 URL 锚点(fragment),而不是查询字符串(querystring),这是因为 OAuth 2.0 允许跳转网址是 HTTP 协议,因此存在"中间人攻击"的风险,而浏览器跳转时,锚点不会发到服务器,就减少了泄漏令牌的风险。

安装 登录界面

隐藏式 需要用户在 认证中心 登录并授权数据给 A 网站,所以需要一个登录界面。这里我们使用 官网提供的 Quickstart.UI,它提供了一个完善的登录和登出的UI。

进入到  MicroShell.IdentityServer4.Server 项目根目录,执行如下命令:

1

2

dotnet new -i identityserver4.templates

dotnet new is4ui

安装成功后,项目中多了 wwwroot、Quickstart、views 等文件夹。

注入 UI 的依赖服务 和 路由规则

ConfigureServices 方法中添加如下代码:

1

services.AddControllersWithViews();

Configure 方法中路由改为:

1

2

3

4

5

6

app.UseEndpoints(endpoints =>

            {

                endpoints.MapControllerRoute(

                      name: "default",

                      pattern: "{controller=Home}/{action=Index}/{id?}");

            });

 

定义 Client

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

new Client

                    {

                        ClientId = "client4",

 

                        //  授权码 模式

                        AllowedGrantTypes = GrantTypes.Implicit,

 

                        RedirectUris = { "http://localhost:5001/test/index"}, // 认证成功后允许的回调地址

                         

                        // 是否需要确认授权,这个配置我们会在后面介绍,这里设置为 false

                        RequireConsent = false,

 

                        // 用于认证的密码

                        ClientSecrets =

                        {

                            new Secret("secret".Sha256())

                        },

 

                        //AlwaysIncludeUserClaimsInIdToken=true,

 

                        //允许token通过浏览器 (必须 true)

                        AllowAccessTokensViaBrowser=true,     

 

                        // 客户端有权访问的范围(Scopes)

                        AllowedScopes = {

                            "api1",

                            IdentityServerConstants.StandardScopes.OpenId,

                        IdentityServerConstants.StandardScopes.Profile

                        }

                    }

修改注入的 用户资源

浏览器测试

浏览器输入:http://localhost:5000/connect/authorize?response_type=id_token token&client_id=client4&scope=openid profile api1&redirect_uri=http://localhost:5001/test/index&nonce=11111111111111111111111

授权码模式

授权码(authorization code)方式,指的是第三方应用先申请一个授权码,然后再用该码获取令牌。 这种方式是最常用的流程,安全性也最高,它适用于那些有后端的 Web 应用。授权码通过前端传送,令牌则是储存在后端,而且所有与资源服务器的通信都在后端完成。这样的前后端分离,可以避免令牌泄漏。

定义 Client

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

new Client

                    {

                        ClientId = "client3",

 

                        //  授权码 模式

                        AllowedGrantTypes = GrantTypes.Code,

 

                        RedirectUris = { "http://localhost:5001/test/index"},

 

                        // 是否需要确认授权,这个配置我们会在后面介绍,这里设置为 false

                        RequireConsent = false,

 

                        // 这个参数必须设置 为 false

                        RequirePkce= false,

 

                        // 用于认证的密码

                        ClientSecrets =

                        {

                            new Secret("secret".Sha256())

                        },

                        // 客户端有权访问的范围(Scopes)

                        AllowedScopes = {

                            "api1",

                            IdentityServerConstants.StandardScopes.OpenId,

                        IdentityServerConstants.StandardScopes.Profile

                        }

                    }

浏览器测试

浏览器输入:http://localhost:5000/connect/authorize?response_type=code&client_id=client3&state=xyz&redirect_uri=http%3A%2F%2Flocalhost%3A5001%2FTest%2Findex&scope=openid profile api1

 

尾言

授权码模式中我们只拿到了 Code,并没有通过 Code 换取 Token,后面的操作笔友可以自己实现。

小阿炳
关注
identityserver4 授权模式
06-21
通过使用IdentityServer4授权模式,开发者可以为Web应用提供安全的身份验证和授权机制,保护用户数据,同时保持良好的用户体验。了解并正确实施这个模式对于构建健壮的、符合行业标准的安全系统至关重要。
IdentityServer4 的多种模式
qq_45926015的博客
10-02 3152
英文文档 一、创建项目: 在visual Studio中创建新的项目。(如果存在包不存在的问题,需要在visual Studio中下载对应包)。 创建项目流程参考链接:ASP.NET Core3.1使用IdentityServer4实现授权登录(一) 注:此项目ASP.NET Core 3.1版本,IdentityServer 3.1.2 补充说明(一)IdentityServer配置文件Config.cs内容 public class IdpConfig { /// <sum
关于IdentityServer4 + Asp net core Identity
极客神殿
05-23 517
Asp net core Identity 本身就是一个认证框架了,然而在我看来有其局限性: 前后端没有分离,较难通过外部接口访问实现认证并且跳转回去,对于微服务适用性较差。 认证过程并不一定安全。 然而与IdentityServer4结合之后以上两方面得到了弥补,因为其使用了OpenID Connect 和OAuth 2.0,保证了认证过程的安全性。同时identityServer4配置了登陆和登出时重定向路径,使其即使从客户端(微服务)登陆登出返回时也能返回到正确客户端(微服务)。 Client
IdentityServer4快速入门与实践指南
最新发布
gitblog_00010的博客
08-18 346
IdentityServer4快速入门与实践指南 IdentityServer4项目地址:https://gitcode.com/gh_mirrors/ide/IdentityServer4 项目介绍 IdentityServer4是一款基于ASP.NET Core的OpenID Connect和OAuth 2.0框架。自从2020年10月1日起,该项目有了新的发展动态,现在由Duende S...
.NET Core + Ocelot + IdentityServer4 + Consul 基础架构实现
weixin_30908103的博客
02-26 805
先决条件 关于 Ocelot 针对使用 .NET 开发微服务架构或者面向服务架构提供一个统一访问系统的组件。 参考 本文将使用 Ocelot 构建统一入口的 Gateway。 关于 IdentityServer4 IdentityServer4 是一个 OpenID Connect 和 OAuth 2.0 框架用于 ASP.NET Core 。IdentityServer4 在你的应用程序...
快速理解 IdentityServer4 中的认证 & 授权
dotNET跨平台
11-01 562
前言在实际的生产环境中,存在各种各样的应用程序相互访问,当用户访问app应用的时候,为了安全性考虑,通常都会要求搭配授权码或者安全令牌服务一并访问,这样可有效地对Server端的API资源起到一定程度的有效保护,大概流程如下:应用交互访问接下来我们就针对这个API 请求访问的过程进行详细的了解,那么通常会存在哪些交互模式呢?常见的交互模式在应用请求访问的过程中,最常见的交互模式有以下...
(精华)2020年9月25日 微服务 身份验证、授权(Ocelot+IdentityServer4)
热门推荐
时光隧道
09-06 45万+
if (!(Test-Path -Path $PROFILE)) { New-Item -ItemType File -Path $PROFILE -Force }
Identityserver4客户端授权模式源码
09-26
- 配置Identityserver4:在Startup.cs文件中,可以看到Identityserver4的配置,包括定义客户端、资源、颁发者标识、秘钥等。 - 客户端配置:客户端配置通常包括客户端ID、客户端秘密、允许的授权类型等。 - 授权...
IdentityServer4 结合 .net core3.1 四种授权模式 demo
05-12
本Demo将详细介绍如何在.NET Core 3.1中结合IdentityServer4实现四种不同的授权模式。 1. 授权模式(Authorization Code Flow) 授权模式是适用于Web应用的标准模式,因为它可以处理用户浏览器中的敏感信息。在...
identityserver4简单认证,授权模式(5种)源码
04-28
这个压缩包文件包含了IdentityServer4实现简单认证和授权模式的源代码,可以帮助我们深入理解这五个不同的授权模式。 1. 授权模式(Authorization Code Grant): 这是最安全的模式,适用于Web应用程序。它涉及到...
IdentityServer4.Templates:IdentityServer4的dotnet新模板
05-04
IdentityServer4.Templates IdentityServer4的dotnet新模板 dotnet new is4empty 创建一个没有UI的最小IdentityServer4项目。 dotnet新is4ui 将快速入门UI添加到当前项目中(例如,可以添加到is4empty之上) ...
IdentityServer4认证和授权设计方案详解及示例代码
XsfFsharp的博客
09-23 248
IdentityServer4是一个基于OpenID Connect和OAuth 2.0的开源认证和授权解决方案,适用于.NET应用程序。客户端应用程序需要与IdentityServer4进行集成,以进行身份验证和访问受保护的资源。通常,客户端应用程序需要使用OpenID Connect或OAuth 2.0协议与IdentityServer4进行通信,获取访问令牌并访问受保护的资源。在上述示例中,IdentityServer4配置了一个名为"api1"的API资源和一个名为"client"的客户端。
spring security实战 4-使用隐式模式(implicit grant type)保护资源
weixin_33802505的博客
06-26 225
写在开篇 本改编课程基于《OAuth 2.0 Cookbook_Protect Your Web Applications using Spring Security-Packt Publishing(2017)》。这本书侧重通过一个个精简的小例子来学习,如何使用spring security和oauth2.0来保护你的资源,。 课程从第...
IdentityServer4实现OAuth2.0四种模式之客户端模式
qq_39173779的博客
03-14 385
当用户(End User)在微信、Google等OpenId提供者(OpenID Provider)平台注册账户时会产生一个身份标识,这个身份标识就是OpenId,当用户登录第三方应用(Relying Part)时如果Relying Part支持OpenId登录,会生成一个带有重定向地址的Url跳至OpenId Provider平台登录界面,用户登录成功后,根据重定向地址带着OpenId跳回Relying Part,标识着用户身份认证成功,该用户在OpenId Provider平台有注册。
IdentityServer4 自定义 GrantType 授权模式
KingCruel的专栏
01-17 1957
OAuth 2.0 默认四种授权模式(GrantType) 授权模式(authorization_code) 简化模式(implicit) 密码模式(password) 客户端模式(client_credentials) 使用 IdentityServer4 自定义授权模式,比如自定义实现一个 anonymous 授权模式创建AnonymousGrantValidator.cs 文件,...
IdentityServer4使用OpenIdConnect实现单点登录
一样的代码,不一样的人生。
10-28 1234
前面写的四种OAuth2.0实现模式只涉及到IdentityServer4的OAuth2.0特性,并没有涉及到OenId方面的。OpenIdConnect是OAuth2.0与OpenId的结合,并加入了一个重要的概念:id_token。我们之前所讲的token是用于访问授权的access_token,而id_token是用于身份验证的,作用完全不同,这一点要区分开来。access_token是OAth2.0特性,而id_token是OpenIdConnect方案为改善OAuth2.0方案在身份验证方面的薄弱
IdentityServer4实现单点登录统一认证
05-24 8796
开发环境: vs2017 、net Core 2.1、sqlserver2012 一。搭建IdentityServer4服务端 打开VS2017,新建 netcore项目: 名字叫:IdentityS4, 然后选择webMVC这个,如下图: 引进安装依赖项:IdentityServer4 设置该项目的地址为:http://localhost:5000 ...
IdentityServer4(六)授权码流程原理之SPA
dotNET跨平台
01-21 3449
在【One by One系列】IdentityServer4(四)授权码流程中提过一句:“为了安全,IdentityServer4是带有PKCE支持的授权模式”我们来回顾一下授权码流程...
OAuth 身份认证 IdentityServer4
KingCruel的专栏
03-14 2561
IdentityServer4 1.0.0 documentation(官网) .NET Core OAuth IdentityServer4 TokenIdentityServer4 Reference Token(Reference Token、Reference Token)ASP.NET MVC 筛选器 身份验证和授权IdentityServer、OpenID Connec...
IdentityServer4实战样本:探索基于.NET的认证原型
1. IdentityServer4:这是.NET框架中用于提供身份验证和授权服务的库,它支持OpenID Connect和OAuth2.0协议,并且允许开发者构建身份提供者和安全令牌服务。 *** Core:IdentityServer4支持最新的*** Core版本。在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值