IdentityServer4实战详解(HyBrid混合模式篇)

已于 2022-10-26 09:40:07 修改
阅读量930 收藏
点赞数 1
分类专栏: MicroService 文章标签: 服务器 java 运维
于 2022-10-19 12:24:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wsnbbdbbdbbdbb/article/details/127405112
版权

HyBrid混合模式

概念描述

参考雨夜朦胧大佬文章
参考腾飞(Jesse)大佬文章

书接上篇implict隐式模式,HyBrid模式是授权码的简化模式的进阶版,更加的安全,解决了在混合模式中访问令牌直接暴露在浏览器的风险

在前面的快速启动中,我们研究了API访问和用户身份验证。现在我们要把这两个部分结合起来。
OpenID Connect & OAuth 2.0组合的美妙之处在于,您可以通过一个协议和一个与令牌服务的交换来实现。

在前面的quickstart中,我们使用了OpenID连接隐式流。在隐式流中,所有令牌都通过浏览器传输,这对于身份令牌来说是完全没问题的。现在我们还想请求一个访问令牌。

访问令牌比身份令牌更加敏感,如果不需要,我们不希望将它们暴露于“外部”世界。 OpenID Connect包含一个名为“混合流”的流程,它可以让我们两全其美,身份令牌通过浏览器通道传输,因此客户可以在做更多工作之前验证它。 如果验证成功,客户端会打开令牌服务的后端通道来检索访问令
牌。

没有多少必要的修改。首先,我们希望允许客户端使用混合流,此外,我们还希望客户端允许执行服务器到服务器的API调用,这些调用不在用户的上下文中(这与我们的客户端凭证quickstart非常相似)。使用AllowedGrantTypes属性表示。
接下来,我们需要添加一个客户端secret。这将用于检索后通道上的访问令牌。
最后,我们还为客户端提供了对offline_access范围的访问权限——这允许为长期存在的API访问请求刷新令牌:

一、HyBrid混合模式

1.Ids4认证服务器修改

使用上节创建好的项目进行修改,修改的地方较少,只需要改配置
修改Config.cs内容,因为新版ids4与旧版不同,请认真对比修改几个细微的地方

    public static class Config
    {
        //修改
        public static IEnumerable<ApiResource> GetApiResources()
        {
            //因为在ids4的新版中与老版有所不同,ApiScopes必须要添加
            return new List<ApiResource>
            {
                new ApiResource("api1", "My API")
                {
                    Scopes = { "api1" }
                }
            };
        }
        //新增加
        public static IEnumerable<ApiScope> ApiScopes =>
                new ApiScope[]
                {
                    new ApiScope("api1")
                };
        public static IEnumerable<Client> GetClients()
        {
            return new List<Client>()
            {
                 new Client(){
                    ClientId="client1",
                    ClientName="mvc client",
                    RequirePkce = false,
                    //修改授权模式
                    AllowedGrantTypes=GrantTypes.HybridAndClientCredentials,
                    //添加客户端密钥
                     ClientSecrets =
                        {
                            new Secret("secret".Sha256())
                        },
                     
                    RedirectUris={"http://localhost:5001/signin-oidc"},
                    PostLogoutRedirectUris={"http://localhost:5001/signout-callback-oidc"},
                    FrontChannelLogoutUri = "http://localhost:5000/signout-idsrv",
                    AllowAccessTokensViaBrowser=true,
                    //添加Scope
                    AllowedScopes = {
                        IdentityServerConstants.StandardScopes.OpenId,
                        IdentityServerConstants.StandardScopes.Profile,
                        //添加范围
                         "api1"
                    },
                    //客户端提供了对offline_access范围的访问权限,这允许为长期存在的API访问请求刷新令牌:
                    AllowOfflineAccess = true
                }
            };
        }

        public static List<TestUser> GetUsers()
        {
            return new List<TestUser>
            {
                new TestUser
                {
                    SubjectId = "1",
                    Username = "alice",
                    Password = "password"
                },
                new TestUser
                {
                    SubjectId = "2",
                    Username = "bob",
                    Password = "password"
                }
            };
        }
        public static IEnumerable<IdentityResource> GetIdentityResources()
        {
            return new List<IdentityResource>
            {
                new IdentityResources.OpenId(),
                new IdentityResources.Profile(),
            };
        }
    }

Program.cs修改,添加APIScope资源,否则会报错

      .AddInMemoryApiScopes(Config.ApiScopes)

2.修改客户端配置

MVC客户端的修改也是最小的——ASP.NET核心的OpenID连接处理器对混合流有内置的支持,所以我们只需要更改一些配置值。

我们配置 ClientSecret 以匹配IdentityServer上的secret。添加 offline_access 和 api1 作用域,并将 ResponseType 设置为 code id_token (这基本上意味着“使用混合流”)

修改Program新增以下配置

 options.ClientSecret = "secret";
    options.ResponseType = "code id_token";
    options.GetClaimsFromUserInfoEndpoint = true;

    options.Scope.Add("api1");
    options.Scope.Add("offline_access");

以下是完整配置,与上节对比



using System.IdentityModel.Tokens.Jwt;

var builder = WebApplication.CreateBuilder(args);

builder.Services.Configure<CookiePolicyOptions>(options =>
{
    options.MinimumSameSitePolicy = SameSiteMode.Unspecified;
    options.OnAppendCookie = cookieContext =>
        SetSameSite(cookieContext.Context, cookieContext.CookieOptions);
    options.OnDeleteCookie = cookieContext =>
        SetSameSite(cookieContext.Context, cookieContext.CookieOptions);
});
//部分浏览器版本较新SameSite不设置会出现报错,
void SetSameSite(HttpContext httpContext, CookieOptions options)
{
    if (options.SameSite == SameSiteMode.None)
    {
        if (httpContext.Request.Scheme != "https")
        {
            options.SameSite = SameSiteMode.Unspecified;
        }
    }
}
builder.Services.Configure<CookiePolicyOptions>(options =>
{
    // This lambda determines whether user consent for non-essential cookies is needed for a given request.
    options.CheckConsentNeeded = context => true;
    options.MinimumSameSitePolicy = SameSiteMode.None;
});

builder.Services.AddMvc();
//AddAuthentication将认证服务添加到DI
builder.Services.AddAuthentication(options => {
    options.DefaultScheme = "Cookies";//设置Cookies为主要认证手段
    options.DefaultChallengeScheme = "oidc";//当需要登录时使用OpenID Connect方案
})
.AddCookie("Cookies")//使用AddCookie添加可以处理cookie的处理程序。
.AddOpenIdConnect("oidc", options => {
    options.SignInScheme = "Cookies";
    options.Authority = "http://localhost:5000";
    //新增的响应
    options.ClientSecret = "secret";
    options.ResponseType = "code id_token";
    // 是否从UserInfoEndpoint获取Claims
    options.GetClaimsFromUserInfoEndpoint = true;

    options.Scope.Add("api1");
    options.Scope.Add("offline_access");

    options.RequireHttpsMetadata = false;
    options.ClientId = "client1";
    options.SaveTokens = true;
});
JwtSecurityTokenHandler.DefaultInboundClaimTypeMap.Clear();
var app = builder.Build();

// Configure the HTTP request pipeline.
if (!app.Environment.IsDevelopment())
{
    app.UseExceptionHandler("/Home/Error");
}
app.UseStaticFiles();

//添加Cookie,不让报错,无法正常使用
app.UseCookiePolicy();
app.UseRouting();
app.UseAuthentication();
// 看登录的用户是否有权限
app.UseAuthorization();

app.MapControllerRoute(
    name: "default",
    pattern: "{controller=Home}/{action=Index}/{id?}");

app.Run();

AddOpenIdConnect用于配置执行OpenID连接协议的处理程序。授权表明我们信任身份服务器。然后我们通过ClientId识别这个客户端。一旦OpenID连接协议完成,SignInScheme将使用cookie处理程序发出cookie。

savetoken用于将标识符从IdentityServer中持久化到cookie中(稍后需要它们)。
此外,我们关闭了JWT声明类型映射,以允许众所周知的声明(例如’sub’和’idp’)通过非混淆的声明:

JwtSecurityTokenHandler.DefaultInboundClaimTypeMap.Clear();

3.修改客户端view/home/index

直接在后面复制代码,获得从服务器返回的id_token信息,

<dt>access token</dt>
<dd>@await ViewContext.HttpContext.GetTokenAsync("access_token")</dd>

<dt>refresh token</dt>
<dd>@await ViewContext.HttpContext.GetTokenAsync("refresh_token")</dd>

效果展示
在这里插入图片描述

二、URL理解

1. 因为没有授权,客户端重定向到授权服务器

在这里插入图片描述

2.重定向,发起GET请求,携带必要的参数

在这里插入图片描述

3.因为未授权,定向到了登录界面,验证身份

在这里插入图片描述

4.登录成功后重定向post,给客户端发送code和id_token等数据

发送code等数据

在这里插入图片描述

在这里插入图片描述
通过负载可以看到携带了code id_token返回

在这里插入图片描述

5、通过code和idtoken获得访问令牌和身份令牌

在这里插入图片描述

在这里插入图片描述

6.拿到access_token,通过cookie策略写入,然后携带cookie去请求,就有权限了

在这里插入图片描述
在这里插入图片描述

有诗亦有远方
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
.Net ID4集合( 单点,redis ,Autofac,微服务)
Code365
06-24 918
在本文中,我们将介绍如何使用 Identity Server4 和 Redis 实现身份验证和访问控制。Identity Server4 是一个功能丰富、灵活且可扩展的开源身份验证和授权解决方案,而 Redis 是一个高性能的内存数据库,可用于存储和管理用户会话。IdentityServer4 是为Core系列量身打造的一款基于 OpenID Connect 和 OAuth 2.0 认证授权框架。
Identityserver4客户端授权模式源码
09-26
标题"Identityserver4客户端授权模式源码"表明了这是一个关于Identityserver4的项目,重点在于客户端授权模式的实现。Identityserver4是.NET生态系统中的一个开源身份认证服务,它允许开发者构建安全的API和Web应用...
IdentityServer4(一):概念及基本介绍
江浙沪柯蓝
12-28 1万+
概述基本介绍官方资源 基本介绍 IdentityServer4是用于ASP.NET Core的OpenID Connect和OAuth 2.0框架。 它在您的应用程序中启用以下功能: 身份验证服务 所有应用程序(Web,本机,移动,服务)的集中式登录逻辑和工作流。IdentityServer是OpenID Connect 的官方认证实现。 单点登录/退出 多种应用程序类型的单点登录/注销。...
Ids4 的使用说明
xulong5000的专栏
07-03 6624
ids4 全称:IdentityServer4 是专门为 。net core 而生产了一个中间件,目前是为了数据安全 做的鉴权中心 第一步:创建一个空的core api 项目:当然你要健 core mvc 也可以了,但是没有必要, 第二步:引用IdentityServer4 当前我引用的是2.2版本的,这个后面如果有更新最新的,就引用最新的应该没有问题。 第三步:添加中间件 需要注意一点:ConfigureServices里面添加的是: services ...
IdentityServer4实战详解
世界既不黑也不白,而是一道精致的灰。
10-19 1388
基于使用的net6版本。
Identity Server
极客神殿
10-13 976
授权码模式(authorization code)简化模式(implicit)密码模式(resource owner password credentials)客户端模式(client credentials)扩展模式(Extension)
IdentityServer4 (IDS4) 快速入门
zhujisoft的专栏
05-04 4万+
一、系统环境 win10 C:\Users\zhoujy>dotnet --version 5.0.102 IdentityServer4 4.0.0 Microsoft Visual Studio Community 2019 版本 16.8.4 二、IdentityServer4 基本原理 1、当前应用程序大多数情况下,如下图的模式 最常见的交互是: 浏览器与Web应用程序通信 Web应用程序与Web API通信(有时是独立的,有时是代表用户的) 基于浏览器的应用程序与.
Vulkan开发实战详解源码
04-19
这个压缩包包含的“Vulkan开发实战详解源码”是一系列用于学习Vulkan编程的实践示例,适用于Windows平台,并且已经确认可以与Vulkan SDK 1.2.170.0兼容。 1. **Visual Studio 2019**:这是一个强大的集成开发环境...
IdentityServer4+Ocelot+.netcoreAPI的例子
08-18
标题"IdentityServer4+Ocelot+.netcoreAPI的例子"表明这是一个使用IdentityServer4作为身份认证服务,Ocelot作为API网关,以及.NET Core API进行后端开发的实际示例项目。这个项目组合展示了如何在现代微服务架构中...
IdentityServer4的使用说明
燕雀安知鸿鹄之志
11-11 1911
ids4 全称:IdentityServer4 是专门为.net core 而生产了一个中间件,目前是为了数据安全 做的鉴权中心 第一步:创建一个空的core api 项目:当然你要健 core mvc 也可以了,但是没有必要, 第二步:引用 IdentityServer4。 第三步:添加中间件 需要注意一点:ConfigureServices里面添加的是: services.AddIdentityServer() .AddDeveloperSigni.....
统一身份认证登录详细介绍-identity4
qq_43340606的博客
08-25 1447
移除单独引入的 polyfill 还有问题,因为 oidc-client.js 的 polyfill 是通过闭包函数传递的,算是一个私有的对象,VUE 项目中是无法引用扩展的方法的。需要去掉单独引入的 polyfill,或者拉取 oidc-client.js 的代码,移除 babel-polyfill 引用,RDC 采用直接移除单独引入的(移除 oidc-client.js 比较麻烦)。这个页面是一个空白页,主要是用来获取配置,并调用。RDC的统一身份认证中心使用的是。,前端对接的js框架是。
IdentityServer4入门
Lifelong learning
07-24 1510
IdentityServer4是用于ASP.NET Core的OpenID Connect和OAuth 2.0框架。官网:https://identityserver4.readthedocs.io/en/latest/创建Asp.net Web Core 空 模板项目,可以将基命名为:IdentityServer(名称可以随意,一般都取这个),注意必须配置Https引用IdentityServer4配置Config,必须是static 类 在 中的 方法中配置如下: 在 中的 配置如下代码
(精华)2020年9月25日 微服务 身份验证、授权(Ocelot+IdentityServer4)
热门推荐
时光隧道
09-06 45万+
if (!(Test-Path -Path $PROFILE)) { New-Item -ItemType File -Path $PROFILE -Force }
IdentityServer4简介
songjuntao8的专栏
11-12 1220
IdentityServer4 是为ASP.NET Core 2.系列量身打造的一款基于 OpenID Connect 和 OAuth 2.0 认证框架。 将identityserver部署在你的应用中,具备如下的特点 认证服务 可以为你的应用(如网站、本地应用、移动端、服务)做集中式的登录逻辑和工作流控制。IdentityServer是完全实现了OpenID Connect协议标准。 单点登录登出(SSO) 在各种类型的应用上实现单点登录登出。 API访问控制 为各种各样的客户端颁发acce
IdentityServer4 的多种模式
qq_45926015的博客
10-02 3093
英文文档 一、创建项目: 在visual Studio中创建新的项目。(如果存在包不存在的问题,需要在visual Studio中下载对应包)。 创建项目流程参考链接:ASP.NET Core3.1使用IdentityServer4实现授权登录(一) 注:此项目ASP.NET Core 3.1版本,IdentityServer 3.1.2 补充说明(一)IdentityServer配置文件Config.cs内容 public class IdpConfig { /// <sum
IdentityServer使用Hybrid模式保护API和进行身份验证
charly
02-18 598
Hybrid模式可以提供身份认证和API保护,将客户端认证方式和资源密码方式集成在一起。 修改Identityserver的客户端配置 将之前的ResourceOwnerPassword更改成Hybrid,并增加访问资源配置 new Client { ClientId = "mvc", ...
快速理解 IdentityServer4 中的认证 & 授权
最新发布
ChaITSimpleLove的博客
10-31 1141
在实际的生产环境中,存在各种各样的应用程序相互访问,当用户访问 `app` 应用的时候,为了安全性考虑,通常都会要求搭配授权码或者安全令牌服务一并访问,这样可有效地对 `Server` 端的 `API` 资源起到一定程度的有效保护
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

有诗亦有远方

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值