使用Hybrid Flow并添加API访问控制

最新推荐文章于 2024-07-22 14:10:07 发布
最新推荐文章于 2024-07-22 14:10:07 发布
阅读量182 收藏
点赞数
文章标签: 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_71792169/article/details/127857015
版权

关于Hybrid Flow 和 implicit flow

Hybrid Flow 和 implicit flow是OIDC(OpenID Connect)协议中的术语,Implicit Flow是指使用OAuth2的Implicit流程获取Id Token和Access Token;Hybrid Flow是指混合Authorization Code Flow(OAuth授权码流程)和Implici Flow。

在之前的文章,我们探索了API访问控制和身份认证。 现在我们要把这两个部分结合在一起。

OpenID Connect和OAuth 2.0组合的优点在于,您可以使用单一协议和令牌服务进行单一交换。

在前一篇文章中,我们使用了OpenID Connect implicit flow。 在implicit流程中,所有的令牌都通过浏览器传输,这对于身份令牌来说是完全不错的。 现在我们也想要一个访问令牌。访问令牌比身份令牌更加敏感,如果不需要,我们不想让它们暴露于“外部”世界。 OpenID Connect包含一个名为“混合流”的流程,它可以让我们两全其美,身份令牌通过浏览器通道传输,因此客户端可以在做更多的工作之前验证它。 如果验证成功,客户端会打开令牌服务的后端通道来检索访问令牌。

修改客户端配置

没有必要做太多的修改。 首先,我们希望允许客户端使用混合流,另外我们还希望客户端允许服务器到服务器API调用,这些调用不在用户的上下文中(这与我们的客户端证书quickstart非常相似)。 这是使用AllowedGrantTypes属性表示的。

接下来我们需要添加一个客户机密钥。 这将用于反向检索通道上的访问令牌。

最后,我们还让客户端访问offline_access作用域 - 这允许为长时间的API访问请求刷新令牌:

new Client
{
    ClientId = "mvc",
    ClientName = "MVC Client",
    AllowedGrantTypes = GrantTypes.HybridAndClientCredentials,

    ClientSecrets =
    {
        new Secret("secret".Sha256())
    },

    RedirectUris           = { "http://localhost:5002/signin-oidc" },
    PostLogoutRedirectUris = { "http://localhost:5002/signout-callback-oidc" },

    AllowedScopes =
    {
        IdentityServerConstants.StandardScopes.OpenId,
        IdentityServerConstants.StandardScopes.Profile,
        "api1"
    },
    AllowOfflineAccess = true
};

修改MVC客户端

在MVC客户端的修改也是最小的 - ASP.NET Core OpenID Connect处理程序已经内置支持混合流程,所以我们只需要改变一些配置值。

我们配置ClientSecret密钥和IdentityServer上匹配。 添加offline_accessapi1作用域,并将ResponseType设置为代码id_token(基本意思是“使用混合流”)

.AddOpenIdConnect("oidc", options =>
{
    options.SignInScheme = "Cookies";

    options.Authority = "http://localhost:5000";
    options.RequireHttpsMetadata = false;

    options.ClientId = "mvc";
    options.ClientSecret = "secret";
    options.ResponseType = "code id_token";

    options.SaveTokens = true;
    options.GetClaimsFromUserInfoEndpoint = true;

    options.Scope.Add("api1");
    options.Scope.Add("offline_access");
});

当你运行MVC客户端时,不会有太大的区别,除了同意界面现在要求你提供额外的API和offline access访问作用域。

使用访问令牌

OpenID Connect中间件会自动为您保存令牌(标识,访问和刷新)。 这就是SaveTokens设置的作用。

技术上,令牌存储在cookie。 访问它们的最简单方法是使用Microsoft.AspNetCore.Authentication命名空间的扩展方法。

例如在View上获取Token:

<dt>access token</dt>
<dd>@await ViewContext.HttpContext.GetTokenAsync("access_token")</dd>

<dt>refresh token</dt>
<dd>@await ViewContext.HttpContext.GetTokenAsync("refresh_token")</dd>

要使用访问令牌访问API,您只需检索令牌,并将其设置在您的HttpClient上:

public async Task<IActionResult> CallApiUsingUserAccessToken()
{
    var accessToken = await HttpContext.GetTokenAsync("access_token");

    var client = new HttpClient();
    client.SetBearerToken(accessToken);
    var content = await client.GetStringAsync("http://localhost:5001/identity");

    ViewBag.Json = JArray.Parse(content).ToString();
    return View("json");
}
是原来的你吗
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
Identity Server 4 - Hybrid Flow - 使用ABAC保护MVC客户端和API资源
weixin_34332905的博客
07-09 159
这个系列文章介绍的是Identity Server 4 实施 OpenID Connect 的 Hybrid Flow.  保护MVC客户端: https://www.cnblogs.com/cgzl/p/9253667.html,  https://www.cnblogs.com/cgzl/p/9268371.html 保护API资源(这里用到了RBAC: Role-based Access...
Identity Server 4 - Hybrid Flow - MVC客户端身份验证
weixin_34268169的博客
07-04 223
预备知识 可能需要看一点点预备知识 OAuth 2.0 不完全简介: https://www.cnblogs.com/cgzl/p/9221488.html OpenID Connect 不完全简介: https://www.cnblogs.com/cgzl/p/9231219.html   回顾一下OAuth 2.0 和 OpenID Connect OAuth 2.0 vs Ope...
IdentityServer(11)- 使用Hybrid Flow添加API访问控制
weixin_34240657的博客
12-26 189
关于Hybrid Flow 和 implicit flow 我在前一篇文章使用OpenID Connect添加用户认证中提到了implicit flow,那么它们是什么呢,它和Hybrid Flow有什么不同呢,这里简单讲一下。 Hybrid Flow 和 implicit flow 是OIDC(OpenID Connect,OAuth2里面没有Hybrid Flow)协议中的术语,Implici...
OIDC协议 — 理解OIDC身份认证授权
qq_38658567的博客
09-13 943
本篇博客介绍了OIDC的发现服务,OAuth2的扩展规范。OIDC其本身是一个完全开放的标准,而且兼容众多的已有的IDP(身份提供商),比如基于SAML的、基于WS-Federation的等等已有的身份认证系统,都可以作为OIDC的OP存在。OIDC使得身份认证可以作为一个服务存在。OIDC可以很方便的实现SSO(跨顶级域)。OIDC兼容OAuth2,可以使用Access Token控制受保护的API资源。OIDC可以兼容众多的IDP作为OIDC的OP来使用
OpenID Connect Core 1.0(六)使用隐式验证流
xftyyyyb的专栏
10-19 396
3.2 使用隐式验证流(Authentication using the Implicit Flow) 本节描述如何使用隐式流程执行验证。使用隐式流程时,所有令牌从授权终结点返回;不使用令牌终结点返回。 隐式流程主要是由客户在浏览器中使用脚本语言实现。直接返回Access Token和ID Token到客户端,这可能会让他们接触到最终用户和应用程序,这些用户可以访问终端用户的用户代理。授权服务...
Hybrid TKLBIST Flow User's Manual
03-20
本手册是关于Hybrid TKLBIST Flow的用户手册,旨在帮助用户了解和使用Hybrid TKLBIST Flow软件。Hybrid TKLBIST Flow是一种混合测试流程,结合了传统的测试方法和基于扫描的测试方法,以提高测试效率和测试覆盖率。 ...
HybridApi:德国电信出售Speedport Hybrid CPE的Python API
05-20
Deutsche Telekom出售的Speedport Hybrid CPE的非官方python-api。 该路由器由华为制造,用于绑定LTE和DSL WAN接口,形成混合访问路径。 使用范例 您可以在“目录中找到更多类似一个! 创建一个SpeedportHybridApi...
Hybrid TK/LBIST Flow User's Manual
01-03
Hybrid TK/LBIST Flow User's Manual Software Version 2017.4 December 2017
Hybrid HTTP API Tester-开源
04-26
使用Hybrid HTTP API Tester,你可以: 1. **测试API端点**:输入API的URL,选择GET或POST方法,设置请求头和查询参数。 2. **处理请求体**:对于POST请求,可以提供JSON、XML或其他格式的数据作为请求体。 3. **...
R15 38.321 (MAC)_MAC(介质访问控制层)_5G协议_
09-30
在5G通信系统中,MAC(Medium Access Control,介质访问控制层)是核心网络协议栈中的一个重要组成部分,它位于物理层之上,与RLC(Radio Link Control)层相邻。R15 38.321是3GPP(Third Generation Partnership ...
OAuth2.0协议(四)、基于OAuth2.0的OIDC认证协议
it_lihongmin的博客
01-12 1859
OIDC(OpenID Connect)协议建立在OAuth2.0协议的基础上,这里需要分清OAuth2.0是一个授权协议,而OIDC是一个认证协议,特别容易搞混。只是OAuth授权框架中包含了部分需要调用认证的信息,而IODC协议利用了OAuth2.0的认证流程(或者利用了去管道、通道)并增加了输出了id_token和OpenId(认证结果和标识)。可以理解: IODC【OpenID Connect】 = OAuth2.0【授权协议】+ 身份认证; IODC定义了三个角色: EU(End...
在onelogin中使用OpenId Connect Implicit Flow
程序那些事
01-07 9463
onelogin支持多种OpenId Connect的连接模式,上一篇文章我们讲到了使用openId的Authentication Flow,今天我们将会讲解一下如何使用Implicit Flow
使用 OpenID Connect
weixin_34378969的博客
03-27 1167
2019独角兽企业重金招聘Python工程师标准>>> ...
5. .NET5+Vue配置Identity server授权中心
李公子的博客
04-02 2066
什么是Identity server4 dentityServer4 是为ASP.NET Core 系列量身打造的一款基于 OpenID Connect 和 OAuth 2.0 认证框架。 将identityserver部署在你的应用中,具备如下的特点 认证服务 可以为你的应用(如网站、本地应用、移动端、服务)做集中式的登录逻辑和工作流控制。IdentityServer是完全实现了OpenID Connect协议标准。 单点登录登出(SSO) 在各种类型的应用上实现单点登录登出。 API访问控制 为各种各样
[认证授权] 4.OIDC(OpenId Connect)身份认证授权(核心部分)
weixin_34268753的博客
05-30 1802
1 什么是OIDC? 看一下官方的介绍(http://openid.net/connect/): OpenID Connect 1.0 is a simple identity layer on top of the OAuth 2.0 protocol. It allows Clients to verify the identity of the End-User based on t...
编程学习之路:从零到一的成长指南
最新发布
KsuferNotes
07-22 266
在当今数字化时代,编程技能已经成为许多人职业发展的重要组成部分。不论你是已经在IT业从业多年的老手,还是刚刚起步的编程新手,这篇博客将带你走过编程学习的每一个重要阶段,从而顺利完成从零到一的华丽转变。
昇思25天学习打卡营第14天|LLM-文本解码原理--以MindNLP为例
wwt72的博客
07-17 935
限制输出序列的最大长度为50个token。top-p=0.95,top-p采样表示在每一步生成token时,只从概率分布中累计概率达到95%的token中进行采样,有助于保持生成文本的流畅性和质量,同时允许一些低概率的token被选中,从而增加多样性。表示禁用了top-k采样,因为在top-k采样中,通常是从概率最高的k个token中随机选择一个token作为下一个输出,而这里设置为0表示不限制token的选择,实际上这将等同于使用 softmax 概率分布直接进行采样。这有助于提高生成文本的多样性。
kubernetes学习日志(七)
qq_47037022的博客
07-18 618
本文记录了service管理,ingress管理,Dashboard管理插件,集群鉴权策略,角色与全局角色,赋权与全局角色赋权。
纯前端小游戏,4096小游戏,有音效,Html5,可学习使用
m0_62996549的博客
07-18 548
【代码】纯前端小游戏,4096小游戏,有音效,Html5,可学习使用
HC900 Hybrid Control Designer 使用指南:创建自定义控制策略
"HC900 Hybrid Control Designer 是一款专门用于HC900控制器和操作员盘配置的组态软件,支持在Windows NT、Windows 2000、Windows ME操作系统上的个人计算机上运行。该软件利用图形化界面,通过符号和线条绘制连接,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

是原来的你吗

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值