OpenIddict 介绍

最新推荐文章于 2024-01-16 08:27:00 发布
最新推荐文章于 2024-01-16 08:27:00 发布
阅读量418 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43394129/article/details/132487261
版权

一.什么是OpenIddict 

  OpenIddict 是一个开源的通用框架 ,用于在任何 ASP.NET Core 2.1(及更高版本)和遗留 ASP.NET 4.6.1(及更高版本)应用程序中构建符合标准的 OAuth 2.0/OpenID Connect 服务器。

  OpenIddict  授权服务器中集成包括: 直通模式和事件模型。OpenIddict允许自定义控制器的Action和自定义中间件,来处理授权、注销、令牌请求。

  与OpenIddict  的集成通常是通过直通模式来处理控制器操作或最小API处理程序中的请求,对于更复杂的场景直接使用其高级事件模型来完成。

  OpenIddict 为 授权服务器实现了一个强大的基于事件的模型:请求处理逻辑的每个部分都被实现为一个事件处理程序,可以将其删除、移动到管道中的不同位置或由自定义处理程序替换以覆盖OpenIddict使用的默认逻辑。 

二.应用权限

  OpenIddict  内置了“应用程序权限”的功能,允许控制和限制每个注册的客户端应用程序能够使用OAuth 2.0/OpenID Connect功能,目前支持4类权限:

  1)Endpoint permissions(端点权限)

  2)Grant type permissions(授予类型权限)

  3)Scope permissions(范围权限)

  4)Response type permissions(响应类型权限)

  这四种权限概念,其实在keycloak或ids4中都有体现。

  2.1 端点权限

    是指限制客户端应用程序可以使用的端点。

    权限端点包括:

端点枚举类型
Authorization(授权)OpenIddictConstants.Permissions.Endpoints.Authorization
Introspection(内省)OpenIddictConstants.Permissions.Endpoints.Introspection
Logout/end session(注销/结束会话)OpenIddictConstants.Permissions.Endpoints.Logout
Revocation(撤消)OpenIddictConstants.Permissions.Endpoints.Revocation
Token(令牌)OpenIddictConstants.Permissions.Endpoints.Token

    在以下示例中,mvc允许应用程序使用授权、注销和令牌端点,但在尝试发送内省或撤销请求时会出错:

    下面是手动用代码创建一个mvc的客户端,分配权限,在生产中需要实现动态配置客户端。  

if (await manager.FindByClientIdAsync("mvc") is null)
{
    await manager.CreateAsync(new OpenIddictApplicationDescriptor
    {
        ClientId = "mvc",
        ClientSecret = "901564A5-E7FE-42CB-B10D-61EF6A8F3654",
        DisplayName = "MVC client application",
        PostLogoutRedirectUris = { new Uri("http://localhost:53507/signout-callback-oidc") },
        RedirectUris = { new Uri("http://localhost:53507/signin-oidc") },
        Permissions =
        {
            OpenIddictConstants.Permissions.Endpoints.Authorization,
            OpenIddictConstants.Permissions.Endpoints.Logout,
            OpenIddictConstants.Permissions.Endpoints.Token
        }
    });
}

    禁用端点权限,如果不想使用端点权限,请调用options.IgnoreEndpointPermissions()以忽略它们:

services.AddOpenIddict()
    .AddServer(options =>
    {
        options.IgnoreEndpointPermissions();
    });

  2.2 授予类型权限

    是指:限制允许客户端应用程序使用的授予类型,也就是授权许可类型。

Grant Type枚举类型
Authorization code(授权码类型)OpenIddictConstants.Permissions.GrantTypes.AuthorizationCode
Client credentials(客户端凭据类型)OpenIddictConstants.Permissions.GrantTypes.ClientCredentials
Implicit (隐式类型)OpenIddictConstants.Permissions.GrantTypes.Implicit
Password(资源拥有者类型 )OpenIddictConstants.Permissions.GrantTypes.Password
Refresh token(刷新token)OpenIddictConstants.Permissions.GrantTypes.RefreshToken

    例如下面示例中,postman客户端只能使用Authorization code许可类型,console客户端使用password和refresh_token许可类型。下面也是通过手动用代码创建客户端。    

if (await manager.FindByClientIdAsync("postman") is null)
{
    await manager.CreateAsync(new OpenIddictApplicationDescriptor
    {
        ClientId = "postman",
        DisplayName = "Postman",
        RedirectUris = { new Uri("https://www.getpostman.com/oauth2/callback") },
        Permissions =
        {
            OpenIddictConstants.Permissions.Endpoints.Authorization,
            OpenIddictConstants.Permissions.Endpoints.Token,

            OpenIddictConstants.Permissions.GrantTypes.AuthorizationCode
        }
    });
}

if (await manager.FindByClientIdAsync("console") is null)
{
    await manager.CreateAsync(new OpenIddictApplicationDescriptor
    {
        ClientId = "console",
        DisplayName = "Console",
        Permissions =
        {
            OpenIddictConstants.Permissions.Endpoints.Token,

            OpenIddictConstants.Permissions.GrantTypes.Password,
            OpenIddictConstants.Permissions.GrantTypes.RefreshToken
        }
    });
}

    如果不想使用授予类型的权限,请调用options.IgnoreGrantTypePermissions()以忽略它们:

services.AddOpenIddict()
    .AddServer(options =>
    {
        options.IgnoreGrantTypePermissions();
    });

   2.3 范围权限

    是指:允许客户端应用程序使用的范围(标准或自定义),注意openid 和offline_acces 范围不需要明确的权限。

    以下示例中,angular客户端允许请求addressprofilemarketing_api范围:任何其他范围都将导致返回错误。

if (await manager.FindByClientIdAsync("angular") is null)
{
    await manager.CreateAsync(new OpenIddictApplicationDescriptor
    {
        ClientId = "angular",
        DisplayName = "Angular",
        RedirectUris = { new Uri("https://localhost:34422/callback") },
        Permissions =
        {
            OpenIddictConstants.Permissions.Endpoints.Authorization,
            OpenIddictConstants.Permissions.GrantTypes.Implicit,

            OpenIddictConstants.Permissions.Scopes.Address,
            OpenIddictConstants.Permissions.Scopes.Profile,
            OpenIddictConstants.Permissions.Prefixes.Scope + "marketing_api"
        }
    });
}

    如果不想使用范围权限,请调用options.IgnoreScopePermissions()以忽略它们:

services.AddOpenIddict()
    .AddServer(options =>
    {
        options.IgnoreScopePermissions();
    });

  2.4 响应类型权限

    是指:限制客户端应用程序在实现交互式流(如代码、隐式或混合)时允许使用的响应类型。  

响应类型枚举类型
codeOpenIddictConstants.Permissions.ResponseTypes.Code
code id_tokenOpenIddictConstants.Permissions.ResponseTypes.CodeIdToken
code id_token tokenOpenIddictConstants.Permissions.ResponseTypes.CodeIdTokenToken
code tokenOpenIddictConstants.Permissions.ResponseTypes.CodeToken
id_tokenOpenIddictConstants.Permissions.ResponseTypes.IdToken
id_token tokenOpenIddictConstants.Permissions.ResponseTypes.IdTokenToken
noneOpenIddictConstants.Permissions.ResponseTypes.None
tokenOpenIddictConstants.Permissions.ResponseTypes.Token

    下面示例中,postman客户端只使用code id_token响应类型

if (await manager.FindByClientIdAsync("postman") is null)
{
    await manager.CreateAsync(new OpenIddictApplicationDescriptor
    {
        ClientId = "postman",
        DisplayName = "Postman",
        RedirectUris = { new Uri("https://www.getpostman.com/oauth2/callback") },
        Permissions =
        {
            OpenIddictConstants.Permissions.Endpoints.Authorization,
            OpenIddictConstants.Permissions.Endpoints.Token,

            OpenIddictConstants.Permissions.GrantTypes.AuthorizationCode,

            OpenIddictConstants.Permissions.ResponseTypes.CodeIdToken
        }
    });
}

    如果不想使用响应类型权限,请调用options.IgnoreResponseTypePermissions()以忽略它们:

services.AddOpenIddict()
    .AddServer(options =>
    {
        options.IgnoreResponseTypePermissions();
    });
花阴偷移
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
openiddict-core:适用于ASP.NET Core 2.13.15.0和Microsoft.Owin 4.1(与ASP.NET 4.6.1兼容)的通用OpenID Connect堆栈
02-05
OpenIddict 您将沉迷于OpenID Connect堆栈。 什么是OpenIddictOpenIddict旨在提供一种通用解决方案,以在任何ASP.NET Core 2.1、3.1和5.0应用程序中实现OpenID Connect服务器和令牌验证,并且从OpenIddict 3.0开始,任何也使用Microsoft.Owin的ASP.NET 4.x应用程序。 OpenIddict完全支持,和。 您还可以创建自己的自定义授予类型。 OpenIddict本机支持 , 和开箱即用,但您也可以提供自己的存储。 我想要一些简单易用的配置 强烈建议寻求简单易用的解决方案的开发人员使用基于
openIddict-practice:OpenIddict身份验证服务练习
02-13
openIddict-practice:OpenIddict身份验证服务练习
OpenIdDict 授权
极客神殿
09-05 1190
【代码】OpenIdDict 授权。
通过OpenIddict设计一个授权服务器02-创建asp.net项目
qq_36437991的博客
01-16 1303
通过OpenIddict设计一个授权服务器02-创建asp.net项目
openiddict-samples:用于OpenIddict的ASP.NET Core,Microsoft.OwinASP.NET 4.x和JavaScript示例
02-05
openiddict-samples:用于OpenIddict的ASP.NET Core,Microsoft.OwinASP.NET 4.x和JavaScript示例
通过OpenIddict设计一个授权服务器03-客户凭证流程
最新发布
01-17
通过OpenIddict设计一个授权服务器03-客户凭证流程
ABP框架之OpenIddict分布式认证授权学习手册v1.0
06-13
快进来,带你入坑~~~
AspNetCoreOpeniddict:带有PKCE的OpenIddict Angular ASP.NET Core OpenID Connect代码流
04-28
使用OpenIddict和Angular实现OpenID代码流PKCE 博客: 创建迁移 安慰 dotnet ef迁移添加了initSts -c ApplicationDbContext 电源外壳 添加迁移“ init_sts” -c ApplicationDbContext 手动运行 Update-Database -...
openiddict-samples, OpenIddict的ASP.NET 核心/javascript示例.zip
09-17
openiddict-samples, OpenIddict的ASP.NET 核心/javascript示例 OpenIddict.Samples演示如何使用 OpenIddict 和不同 oauth2/openid连接流的内核示例示例。支持需要帮助或者想分享你的想法? 请不要犹豫加入或者问你StackOverflow的问题:Gitte
A2SPA:具有ASP.NetCore 2 + Angular 4 + Bootstrap 4+ OpenIdDict的SPA
01-28
Angular 4 + Bootstrap 4 + ASP.Net Core 1.1,ASP.Net Core 2 SPA 注意:这是VS2017 ASP.Net Core 2代码的早期版本(请参阅VS2017_2文件夹) 这个新的ASP.Net 2版本的代码仍然很粗糙,需要清理,调试并且还没有添加NSwag / Swagger。另一方面,登录,注销,密码更改和数据CRUD功能应该可以正常工作(通常)。 什么是A2SPA? 一个将ASP.Net Core用作后端并将Angular 4.0用作前端的SPA。 以下是基于ASP.Net Core 1.1.1和Angular 4的原始文章系列的链接 第1部分:请参见: : 涵盖了将ASP.Net Core和Angular 4集成的技术。 第2部分:请参见: : 涵盖了将ASP.Net Core标记帮助器与Angular 4一起使用以显示数据 第3部分:请参见涵盖了如何将ASP.Net Core标记帮助程序与Angular 4结合使用以进行数据输入 第4部分:请参见涵盖了使用JWT和OpenIdDict进行令牌身份验证 第5部分
使用OpenIddict,页面刷新之后refresh_token消失
Martin 的博客
11-15 1699
使用OpenIddict,页面刷新之后refresh_token消失
使用 OpenID Connect
weixin_34378969的博客
03-27 1153
2019独角兽企业重金招聘Python工程师标准>>> ...
abp Vnext OpenIddect 扩展微信小程序授权登录
逸只猫の博客
04-04 1732
abp vnext6.0之后官方替换了原来的ids4,采用了openIddict的oauth认证框架。使用之前的方法已经不行,以下是OpenIddect 使用ITokenExtensionGrant接口进行的授权登入扩展,按照以下代码可实现,欢迎交流指正。
Authorizing your .NET Core MVC Core API requests with OpenIddict and Identity
Martin 的博客
11-14 1060
Authorizing your .NET Core MVC Core API requests with OpenIddict and Identity   OpenIddict is an excellent open-source library for dealing with OAuth and OpenID in the new MVC Core (previous
单点登录涉及的技术点
hhhhhhenrik的博客
06-16 3490
OAuth 2.0是一个授权(Authorization)框架,它将用户身份验证委托给托管用户帐户的服务提供商,并授权第三方应用程序访问用户帐户。OAuth 2.0为web应用程序、桌面应用程序和移动设备提供授权流。 通过引入授权层,OAuth 2.0将客户机的角色与资源所有者或最终用户分离。如果客户端请求访问由最终用户控制并由资源服务器托管的资源,而不是使用最终用户的凭据访问受保护的资源,则客户端将获得一个访问令牌。在最终用户的批准下,授权服务器将向请求客户端颁发访问令牌。...
通过OpenIddict设计一个授权服务器01-介绍
qq_36437991的博客
01-15 828
通过OpenIddict设计一个授权服务器01-介绍
IdentityServer4之Authorization Code(授权码)相对更安全
dotNET跨平台
02-10 567
前言接着授权模式聊,这次说说Authorization Code(授权码)模式,熟悉的微博接入、微信接入、QQ接入都是这种方式(这里说的是oauth2.0的授权码模式),从用户体验上来看,...
openiddict
08-16
OpenIddict 是一个开源的身份验证和授权库,它是基于 OAuth 2.0 和 OpenID Connect 标准的。它提供了一种简单且灵活的方式来集成身份验证和授权功能到 ASP.NET Core 应用程序中。 使用 OpenIddict,你可以轻松地实现身份验证和授权的功能,包括用户注册、登录、令牌生成、令牌验证等。它支持多种身份验证流程,包括授权码模式、隐式模式、混合模式等。 OpenIddict 还提供了一些扩展点,可以根据自己的需求进行定制。你可以自定义令牌生成、令牌验证、授权端点等逻辑,以满足特定的业务需求。 总的来说,OpenIddict 是一个功能强大且易于使用的身份验证和授权库,可以帮助开发者快速集成身份验证和授权功能到 ASP.NET Core 应用程序中。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值