ASP.NET Core 認證與受權[3]:OAuth & OpenID Connect認證
在上一章中,咱們瞭解到,Cookie認證是一種本地認證方式,一般認證與受權都在同一個服務中,也可使用Cookie共享的方式分開部署,但侷限性較大,而現在隨着微服務的流行,更加偏向於將之前的單體應用拆分爲多個服務並獨立部署,而此時,就須要一個統一的認證中心,以及一種遠程認證方式,本文就來介紹一下現在最爲流行的遠程認證方式:OAuth 和 OpenID Connect。html
目錄git
OAuth 2.0
在介紹OAuth以前,咱們先簡單介紹一下OpenID。OpenID 是一個以用戶爲中心的數字身份識別框架,它具備開放、分散性。OpenID 的建立基於這樣一個概念:咱們能夠經過 URI (又叫URL或網站地址)來認證一個網站的惟一身份,同理,咱們也能夠經過這種方式來做爲用戶的身份認證。github
OpenID的認證很是簡單,當你訪問須要認證的A網站時,A網站要求你輸入你的OpenID用戶名,而後會跳轉你的OpenID服務網站,輸入用戶名密碼驗證經過後,再跳回A網站,而些時已經顯示認證成功。除了一處註冊,處處通行外,OpenID還可使全部支持OpenID的網站共享用戶資源,而用戶能夠控制哪些信息能夠被共享,例如姓名、地址、電話號碼等。web
而OAuth是一個關於受權(authorization)的開放網絡標準,在全世界獲得普遍應用,在官網對其是這樣定義的:shell
An open protocol to allow secure API authorization in a simple and standard method from desktop and web applications.json
OAuth關注的是第三方應用訪問其受保護資源的能力,而OpenID關注的是第三方應用獲取用戶身份的能力。瀏覽器
現在大多網站都已再也不支持OpenID,最爲流行的是OAuth 2.0 (在本文中提到OAuth也均指2.0版本),而OpenID的最新版是OpenID Connect,是OpenID的第三代技術,下文會來介紹。服務器
關於OAuth的介紹,網上很是之多,本文就再也不過多敘述,而是主要講解如何在 ASP.NET Core 中使用 OAuth 認證。若是你對 OAuth 並不瞭解,那麼建議先去網上查看一下這方面的資料,再來閱讀本文。而在本文中提到的OAuth認證指的是 ASP.NET Core 中的一種認證方式,而OAuth自己只是一種受權協議,但願不要混淆。cookie
在 OAuth 協議中包含如下四種受權模式:網絡
受權碼模式(authorization code)
簡化模式(implicit)
密碼模式(resource owner password credentials)
客戶端模式(client credentials)
在以上四種模式中,只有第一種Code模式須要服務端參與,其它的只在客戶端就可完成,所以,在 ASP.NET Core 的 OAuth 認證中,也就只有Code模式。
用例
先來看一下具體的用法:
對於項目的建立能夠參考上一章,而後添OAuth的Nuget包引用:
dotnet add package Microsoft.AspNetCore.Authentication.OAuth --version 2.0.0
而後在ConfigureServices配置服務:
public void ConfigureServices(IServiceCollection services)
{
services.AddAuthentication(options =>
{
options.DefaultAuthenticateScheme = CookieAuthenticationDefaults.AuthenticationScheme;
options.DefaultSignInScheme = CookieAuthenticationDefaults.AuthenticationScheme;
options.DefaultChallengeScheme = OAuthDefaults.DisplayName;
})
.AddCookie()
.AddOAuth(OAuthDefaults.DisplayName, options =>
{
options.ClientId = "oauth.code";
options.ClientSecret = "secret";
options.AuthorizationEndpoint = "https://oidc.faasx.com/connect/authorize";
options.TokenEndpoint = "https://oidc.faasx.com/connect/token";
options.CallbackPath = "/signin-oauth";
options.Scope.Add("openid");
options.Scope.Add("profile");
options.Scope.Add("email");
options.SaveTokens = true;
// 事件執行順序 :
// 1.建立Ticket以前觸發
options.Events.OnCreatingTicket = context => Task.CompletedTask;
// 2.建立Ticket失敗時觸發
options.Events.OnRemoteFailure = context => Task.CompletedTask;
// 3.Ticket接收完成以後觸發
options.Events.OnTicketReceived = context => Task.CompletedTask;
// 4.Challenge時觸發,默認跳轉到OAuth服務器
// options.Events.OnRedirectToAuthorizationEndpoint = context => context.Response.Redirect(context.RedirectUri);
});
}
上面前六個參數是都必填的(在IdentityServer中Scope必須包含openid),不然會報錯,SaveTokens屬性用來設置是否將OAuth服務器返回的Token信息保存到AuthenticationProperties中。
https://oidc.faasx.com 是我使用 IdentityServer4 搭建的一個OIDC服務,源碼地址在 IdentityServerSample ,而本文中並不會涉及到IdentityServer的相關知識,後續有機會再來單獨介紹一下它。
最後,註冊中間件:
public void Configure(IApplicationBuilder app)
{
app.UseAuthentication();
// 受權,與上一章Cookie認證中的實現同樣
app.UseAuthorize();
// 個人信息
app.Map("/profile", builder => builder.Run(async context =>
{
await context.Response.WriteHtmlAsync(async res =>
{
await res.WriteAsync($"<h1>你好,當前登陸用戶: {HttpResponseExtensions.HtmlEncode(context.User.Identity.Name)}</h1>");
await res.WriteAsync("<a class=\"btn btn-default\" href=\"/Account/Logout\">退出</a>");
await res.WriteAsync($"<h2>AuthenticationType:{context.User.Identity.AuthenticationType}</h2>");
await res.WriteAsync("<h2>Claims:</h2>");
await res.WriteTableHeader(new string[] { "Claim Type", "Value" }, context.User.Claims.Select(c => new string[] { c.Type, c.Value }));
// 在第一章中介紹過HandleAuthenticateOnceAsync方法,在此調用並不會有多餘的性能損耗。
var result = await context.AuthenticateAsync();
await res.WriteAsync("<h2>Tokens:</h2>");
await res.WriteTableHeader(new string[] { "Token Type", "Value" }, result.Properties.GetTokens().Select(token => new string[] { token.Name, token.Value }));
});
}));
// 退出
app.Map("/Account/Logout", builder => builder.Run(async context =>
{
await context.SignOutAsync();
context.Response.Redirect("/");
}));
// 首頁
app.Run(async context =>
{
await context.Response.WriteHtmlAsync(async res =>
{
await res.WriteAsync($"<h2>Hello OAuth Authentication</h2>");
await res.WriteAsync("<a class=\"btn btn-default\" href=\"/profile\">個人信息</a>");
});
});
}
在 上一章 中有介紹到遠程認證並不具有SignIn/SignOut的功能,而在這裏的context.SignOutAsync()方法是由 CookieHandler 來執行的,由於咱們指定了options.DefaultSignInScheme = CookieAuthenticationDefaults.AuthenticationScheme ,而DefaultSignOutScheme默認會使用DefaultSignInScheme中指定的值。
而後運行,訪問:http://localhost:5001,點擊 「個人信息」 按鈕,將會跳轉到OAuth服務器,登陸成功後則顯示受權頁面:
點擊容許,跳回咱們的網站,並已登陸成功,顯示以下:
如圖,Cliams中是空的,只有Token的相關信息,包含:access_token, token_type, expires_at 三個值。後續,可使用access_token來訪問OAuth服務方提供的受保護資源。這也就解釋了爲何說OAuth只是受權,由於咱們獲得的只有一個自己沒法識別的access_token,而沒有關於用戶身份的任何信息,這也正是OAuth的本意。而國內卻大多使用OAuth來作認證,以致於大多人都認爲OAuth指的是認證,而非受權。雖然OAuth後來補充了 RFC7662 - OAuth2 Token Introspection 協議,讓咱們能夠獲取到用戶的身份,可是並不建議使用,而是使用下面要介紹的OpenID Connect來作身份的認證。
下面再來簡單介紹一下其運行流程。
源碼分析
AddOAuth與上一章中介紹的AddCookie實現邏輯相似,而OAuthOptions中的參數,都是OAuth中的標準參數,不用多說。主要來介紹一下OAuthHandler,其用來完成獲取Code,再使用Code獲取AccessToken的整個流程:
public class OAuthHandler<TOptions> : RemoteAuthenticationHandler<TOptions> where TOptions : OAuthOptions, new()
{
...
protected override async Task<HandleRequestResult> HandleRemoteAuthenticateAsync()
{
// 獲取從OAuth服務器返回的state
var state = query["state"];
var properties = Options.StateDataFormat.Unprotect(state);
// 獲取從OAuth服務器返回的code
var code = query["code"];
var tokens = await ExchangeCodeAsync(code, BuildRedirectUri(Options.CallbackPath));
// ClaimsIssuer參數繼承自父類:protected virtual string ClaimsIssuer => Options.ClaimsIssuer ?? Scheme.Name;
var identity = new ClaimsIdentity(ClaimsIssuer);
if (Options.SaveTokens)
{
// 保存Token信息到properties中,包括access_token refresh_token token_type expires_at
properties.StoreTokens(authTokens);
}
var ticket = await CreateTicketAsync(identity, properties, tokens);
return HandleRequestResult.Success(ticket);
}
// 使用上面獲取到的受權碼,拼裝請求參數,而後調用TokenEndpoint,獲取到Token。
protected virtual async Task<OAuthTokenResponse> ExchangeCodeAsync(string code, string redirectUri) { }
// 調用BuildChallengeUrl方法拼裝請求參數,而後跳轉。
protected override async Task HandleChallengeAsync(AuthenticationProperties properties) { }
}
補充一點,對於遠程認證Handler,都只有請求路徑(一般是認證服務器回調)與咱們指定的CallbackPath一致時,纔會執行,這一點在 第一章 中也有介紹過。
以上代碼簡單展現了OAuth受權碼模式的基本實現,完整的代碼在:OAuthHandler,總的來講,OAuth認證仍是比較簡單的,我在這裏再簡單敘述一下。
受權碼模式的整個流程以下:
+----------+
| Resource |
| Owner |
| |
+----------+
^
|
(B)
+----|-----+ Client Identifier +---------------+
| -+----(A)-- & Redirection URI ---->| |
| User- | | Authorization |
| Agent -+----(B)-- User authenticates --->| Server |
| | | |
| -+----(C)-- Authorization Code ---<| |
+-|----|---+ +---------------+
| | ^ v
(A) (C) | |
| | | |
^ v | |
+---------+ | |
| |>---(D)-- Authorization Code ---------' |
| Client | & Redirection URI |
| | |
| |<---(E)----- Access Token -------------------'
+---------+ (w/ Optional Refresh Token)
第一次未登陸時訪問,將會跳轉到認證服務器並帶上returnUrl參數,其附帶 client_id, scope, response_type, redirect_uri, state 五個參數,請求報文以下(爲方便展現,都會使用URLDecode解碼):
GET /connect/authorize?client_id=oauth.code&scope=openid profile email&response_type=code&redirect_uri=http://localhost:5001/signin-oauth&state=CfDJ8B4XRZETkRhMt3mT9VduB8K32v-jJapr_X1RhEIiixwkk7L8krUsn32tBnyn3D0NX8PjPPpGtiAEG6O0bWI9ke42XhA0hrk-nI5nM86Fj9BDVQMoUwFJlrmT3QWBV7qTHWwPVWIXsK6lZR00owdKOqAL7g-9LjVv150V3NeBHD1P_Jp9xiK1sN_WywIbEUSwE_ut_c6w4V5nilEe6MqU-4JUoz5BTiqXDGG5kTd36ivGal4ihisn07csWFdodvC61A HTTP/1.1 Referer: http://localhost:5001/
其ReturnUrl的拼裝代碼以下:
protected virtual string BuildChallengeUrl(AuthenticationProperties properties, string redirectUri)
{
var scope = FormatScope();
var state = Options.StateDataFormat.Protect(properties);
var parameters = new Dictionary<string, string>
{
{ "client_id", Options.ClientId },
{ "scope", scope },
{ "response_type", "code" },
{ "redirect_uri", redirectUri },
{ "state", state },
};
return QueryHelpers.AddQueryString(Options.AuthorizationEndpoint, parameters);
}
在OAuth服務登陸成功後,返回以下:
HTTP/1.1 302 Found Location: http://localhost:5001/signin-oauth?code=011e45b0f509969ac85aa69ab199636ddb33c13a06c711672b1be99509a5e205&scope=openid profile email&state=CfDJ8B4XRZETkRhMt3mT9VduB8K32v-jJapr_X1RhEIiixwkk7L8krUsn32tBnyn3D0NX8PjPPpGtiAEG6O0bWI9ke42XhA0hrk-nI5nM86Fj9BDVQMoUwFJlrmT3QWBV7qTHWwPVWIXsK6lZR00owdKOqAL7g-9LjVv150V3NeBHD1P_Jp9xiK1sN_WywIbEUSwE_ut_c6w4V5nilEe6MqU-4JUoz5BTiqXDGG5kTd36ivGal4ihisn07csWFdodvC61A&session_state=AwD762ldo1cgW58P0qKbK20amkXDIsIm_GMm8oTas0Q.05716f0d6ff235cbc38da1c1d0508fa5
其 state 是咱們在上一步中保存的 properties,code則是最重要的參數,用來獲取 access_token,由服務端來執行:
protected virtual async Task<OAuthTokenResponse> ExchangeCodeAsync(string code, string redirectUri)
{
var tokenRequestParameters = new Dictionary<string, string>()
{
{ "client_id", Options.ClientId },
{ "redirect_uri", redirectUri },
{ "client_secret", Options.ClientSecret },
{ "code", code },
{ "grant_type", "authorization_code" },
};
var requestContent = new FormUrlEncodedContent(tokenRequestParameters);
var requestMessage = new HttpRequestMessage(HttpMethod.Post, Options.TokenEndpoint);
requestMessage.Headers.Accept.Add(new MediaTypeWithQualityHeaderValue("application/json"));
requestMessage.Content = requestContent;
var response = await Backchannel.SendAsync(requestMessage, Context.RequestAborted);
var payload = JObject.Parse(await response.Content.ReadAsStringAsync());
// payload:
// {
// "id_token": "xxx",
// "access_token": "xxx",
// "expires_in": 3600,
// "token_type": "Bearer"
// }
return OAuthTokenResponse.Success(payload);
}
最後調用Cookie認證的Sign方法寫入Cookie,並跳轉到個人信息頁面:
HTTP/1.1 302 Found Location: http://localhost:5001/profile Set-Cookie: .AspNetCore.Correlation.OAuth.In32Oho-aTNH4EOvCWNZYSs--sYgA3eRfoJC9tZkgBY=; expires=Thu, 01 Jan 1970 00:00:00 GMT; path=/signin-oauth; samesite=lax Set-Cookie: .AspNetCore.Cookies=CfDJ8B4XRZETkRhMt3mT9VduB8JypeVkaj-mkVB8iXvf2tG2d8Xfs5CoX2wugjdlUkBv2DY73FAvPwPJOo81GpKqRJjjYzgwemGkB98ZTN7dbKI9rT__Xwi-xsPZ-8gPCBtoeSnn1RfagM2kcprjk4djhBTrrJK1AVh3qufyu195Nju4Fqrmv91NKfelpztX0qaeVWS4y5cgbpKJwfeqJ3AfSSGkwnMFRIbKcX-TgJHKIDxQsP8OhAxm572GGv02X5WvpYZZF7Tc90zvNyH5HEzwv1nJ2yNuRUIgmSx6425M5RM684fq1fvaVIN29sORJCEj69gmw3xt7wpY3BsMYDyRXH1XSoa_n7WEjvnT6lfy1zYqSLDM0MAMOlkBzAXRQ5Vjr8IVhTPkGOEsxT0jqHeJrVOzYD5PcuveP-oey3-n7OJyrKOtByu5qUfzI2Gs_isUBiQSWcSfyQo9sLuB1Jj5dHtakCXOYUt8Hu2ysxUKugQiRSyh5WmxUm_RBuV8_QFzpD-3Ke5Brd1Kjl95Yo6iik66rfoHm1rcUOjKFGFvBl0be4uYz6-vhgauvhb-sa-gq-6uGLzNk_Qm9l-vf1nJk7h_qQ8OgwhjgNScrhMMt7r8DET3pX-_gYg7Dl56KBGCpVX6nrBFgjjrdpN6kvDh6v26zrEpgYW6IHqVkje8HMgZbWe2PdNflrA9DmV6XtOxncoLc3EusWmpkUk-FCXG3lIzd4VlC8iim7fbCJHd5Z6Cn6b9cRGTTf4juvUcOWvTbHXi6HkT2f1Ym9eFZ-7BBghRWwc2fERPgxPZEcwgkSdEgoHPq_eZtnshgHVTSM1e_FUyiZxh8miVJbRRhzWgdR5xNW--lOD6ShdNH6-22dKKOZbPdxTkxraZl9SXslTdR1ILoD4Z23Jyi-rRZ42uPzCIrX4PnJIzm9HjFvjGQJedL8mm2tDaIuYQ2_LBvyz8Wms9e0T_VXJCaf53IE2rqAKahwxAV7kRDudEPNIp4y7pJ7djdhEahtdVUwiIh4Pz9y1p74zA42HeI2lUn6pTTetH_npKn_dqu1puge_lXTncSH2yNqFZZTCQsNO6INjQjDMLRTkLGptQrjrMPz17MpFnb4lA1eVAo0R9EdlDIOAep2f2PuPzc-fVub5olnb8NjGUWy9J4rW6C-HBMj3sAlpZz9eHCYAOkRElKxeEgpyS1yOLA3469neukGKYFUySsTfDdEvU3JqsViFO3v_8EwCe80eiePQv1l4SF7AWwIqQhZuXf-n4_TXnoKFlZz9QqesA_npYg1LgnrhHhUXEAhHvyehEKLRXFUDMQqIls6b_WxWQ8d-9FBthl-WlZqMippZ1TJzGKLntsSXximbSnkGMuQfKNdESgIdUfvD1Dx8zbPVs_2U87slOiCAwbrXPi9oVIFj8OuTBFKaf6NY8hh2aQ9ywDlekGCujnnh6EzZoPHuCVCNQ1bqKzAxnvAZ6Eg; path=/; samesite=lax; httponly
OpenID Connect
OpenID Connect是OpenID的升級版,簡稱OIDC,是2014年初發布的開放標準,定義了一種基於OAuth2的可互操做的方式來來提供用戶身份認證。在OIDC中,應用程序沒必要再爲每一個客戶端構建不一樣的協議,而是能夠將一個協議提供給多個客戶端,它還使用了JOSN簽名和加密規範,用來在傳遞攜帶簽名和加密的信息,並使用簡單的REST/JSON消息流來實現,和以前任何一種身份認證協議相比,開發者均可以輕鬆的集成。
上文中介紹到OAuth2是一個受權協議,它沒法提供完善的身份認證功能。而OIDC使用OAuth2的受權服務器來爲第三方客戶端提供用戶的身份認證,並把對應的身份認證信息傳遞給客戶端,能夠適用於各類類型的客戶端(好比服務端應用,移動APP,JS應用),並徹底兼容OAuth2,也就是說你搭建了一個OIDC的服務後,也能夠看成一個OAuth2的服務來用(上面的OAuth服務器其實就是使用的OIDC服務器),應用場景如圖:
OIDC在OAuth的基礎上擴展了一些新的概念,避免了OAuth中的不少誤區:
ID Tokens
OpenID Connect Id Token是一個簽名的JSON Web Token(JWT:RFC7519),它包含一組關於用戶身份的聲明(claim),如:用戶的標識(sub)、頒發令牌的提供程序的標識符(iss)、建立此標識的Client標識(aud),還包含token的有效期以及其餘相關的上下文信息。
因爲ID Token使用的是JWT簽名,客戶端能夠直接解析出Token中的內容而無需依賴外部服務,所以咱們可使用ID Token來作身份認證,而不須要使用access_token。不過,OIDC爲了保持於OAuth的兼容,會同時提供Id token和access_token。
UserInfo Endpoint
OIDC還提供了一個包含當前用戶信息的標準的受保護的資源。UserInfo Endpoint不是身份認證的一部分,而是提供附加的標識信息,它提供了一組標準化的屬性:好比profile、email、phone和address。OIDC中定義了一個特殊的openidscope,而且是必須的,它包含對Id token和UserInfo Endpoint的訪問權限。
服務發現和客戶端註冊
OIDC定義了一個發現協議,客戶端能夠自動的獲取有關如何與身份認證提供者進行交互的信息,還定義了一個客戶端註冊協議,容許客戶端引入新的身份提供程序(identity providers)。經過這兩種機制和一個通用的身份API,OIDC能夠在互聯網規模上良好的運行,而不須要任何一方事先知道對方的存在。
Hybrid Flow
混合流模式是受權碼模式與隱式模式的組合,在一次請求中能夠同時獲取Code和ID Token,ResponseType能夠是:code id_token, code id_token token 和 code token。
簡單的介紹了一下OIDC的基本概念(網上對於OIDC的介紹不少,本文就很少敘述),下面就來介紹一下 ASP.NET Core 中的OIDC認證。
示例
首先添OpenIdConnect的Nuget包引用:
dotnet add package Microsoft.AspNetCore.Authentication.OpenIdConnect --version 2.0.0
OIDC的註冊其實要比OAuth還簡單些:
services.AddAuthentication(options =>
{
options.DefaultAuthenticateScheme = CookieAuthenticationDefaults.AuthenticationScheme;
options.DefaultSignInScheme = CookieAuthenticationDefaults.AuthenticationScheme;
options.DefaultChallengeScheme = OpenIdConnectDefaults.AuthenticationScheme;
})
.AddCookie()
.AddOpenIdConnect(o =>
{
o.ClientId = "oidc.hybrid";
o.ClientSecret = "secret";
// 若不設置Authority,就必須指定MetadataAddress
o.Authority = "https://oidc.faasx.com/";
// 默認爲Authority+".well-known/openid-configuration"
//o.MetadataAddress = "https://oidc.faasx.com/.well-known/openid-configuration";
o.RequireHttpsMetadata = false;
// 使用混合流
o.ResponseType = OpenIdConnectResponseType.CodeIdToken;
// 是否將Tokens保存到AuthenticationProperties中
o.SaveTokens = true;
// 是否從UserInfoEndpoint獲取Claims
o.GetClaimsFromUserInfoEndpoint = true;
// 在本示例中,使用的是IdentityServer,而它的ClaimType使用的是JwtClaimTypes。
o.TokenValidationParameters.NameClaimType = "name"; //JwtClaimTypes.Name;
// 如下參數均有對應的默認值,一般無需設置。
//o.CallbackPath = new PathString("/signin-oidc");
//o.SignedOutCallbackPath = new PathString("/signout-callback-oidc");
//o.RemoteSignOutPath = new PathString("/signout-oidc");
//o.Scope.Add("openid");
//o.Scope.Add("profile");
//o.ResponseMode = OpenIdConnectResponseMode.FormPost;
/***********************************相關事件***********************************/
// 未受權時,重定向到OIDC服務器時觸發
//o.Events.OnRedirectToIdentityProvider = context => Task.CompletedTask;
// 獲取到受權碼時觸發
//o.Events.OnAuthorizationCodeReceived = context => Task.CompletedTask;
// 接收到OIDC服務器返回的認證信息(包含Code, ID Token等)時觸發
//o.Events.OnMessageReceived = context => Task.CompletedTask;
// 接收到TokenEndpoint返回的信息時觸發
//o.Events.OnTokenResponseReceived = context => Task.CompletedTask;
// 驗證Token時觸發
//o.Events.OnTokenValidated = context => Task.CompletedTask;
// 接收到UserInfoEndpoint返回的信息時觸發
//o.Events.OnUserInformationReceived = context => Task.CompletedTask;
// 出現異常時觸發
//o.Events.OnAuthenticationFailed = context => Task.CompletedTask;
// 退出時,重定向到OIDC服務器時觸發
//o.Events.OnRedirectToIdentityProviderForSignOut = context => Task.CompletedTask;
// OIDC服務器退出後,服務端回調時觸發
//o.Events.OnRemoteSignOut = context => Task.CompletedTask;
// OIDC服務器退出後,客戶端重定向時觸發
//o.Events.OnSignedOutCallbackRedirect = context => Task.CompletedTask;
});
如上,ClientId,ClientSecret與在OAuth中的做用同樣,而在這裏不須要再分別指定各類Endpoint,是經過指定一個MetadataAddress地址來自動發現,可訪問 https://oidc.faasx.com/.well-known/openid-configuration 來了解一下MetadataAddress中包含的信息。
而後,在上文OAuth認證示例中的Configure方法基礎上添加signout和signout-remote:
// 本地退出
app.Map("/signout", builder => builder.Run(async context =>
{
await context.SignOutAsync(CookieAuthenticationDefaults.AuthenticationScheme);
await context.Response.WriteHtmlAsync(async res =>
{
await res.WriteAsync($"<h1>Signed out {HttpResponseExtensions.HtmlEncode(context.User.Identity.Name)}</h1>");
await res.WriteAsync("<a class=\"btn btn-default\" href=\"/\">Home</a>");
});
}));
// 遠程退出
app.Map("/signout-remote", builder => builder.Run(async context =>
{
await context.SignOutAsync(OpenIdConnectDefaults.AuthenticationScheme, new AuthenticationProperties()
{
RedirectUri = "/signout"
});
}));
如上,遠程退出使用的是OpenIdConnectDefaults.AuthenticationScheme,而本地退出則使用的CookieAuthenticationDefaults.AuthenticationScheme。
運行流程
登陸
來探索一下OIDC的運行流程,首先運行,點擊一下個人信息:
請求: GET http://localhost:5002/profile HTTP/1.1 響應: HTTP/1.1 302 Found Location: https://oidc.faasx.com/connect/authorize?client_id=oidc.hybrid&redirect_uri=http://localhost:5002/signin-oidc&response_type=code id_token&scope=openid profile&response_mode=form_post&nonce=636428853279287956.N2IxZmFlZDgtNDNmZC00OTRmLTljMWItNTVjMmQwOTVjNTQ3MWUyMDcxNTctZDg4Yy00MDRiLThmNmQtYjE1YTdjOGE4MThm&state=CfDJ8B4XRZETkRhMt3mT9VduB8LSACJO9seruKlM3kYPxaRyWcUSt0BvPMd6RUGAiay8qraTWLdMh9B3ClRJDE-BtMRYTmzGJSHegueIW-fyq2G9TpUtSQCd23BxAYrdB4SeGQte2IXaQ82cKMz-aSHQ7TTzhPO_fgDtIVlwDJBtwgKQzEkEyyLsfH2DHxwr_Ojn3M-uRHId2bi9RF2gR_1hqoTdYlv-CZodFKuUGSMCqJO4cZLsuuAb-PrSnamz7h7MOpPixIOgQq5gd25sxF8avpSTsoT5HbU2fCiqX7g3rbCLzMG-rTnDftN8uZRiqc-JcyGkLPGIoj-FLNoW_yfZbGk&x-client-SKU=ID_NET&x-client-ver=2.1.4.0 Set-Cookie: .AspNetCore.OpenIdConnect.Nonce.CfDJ8B4XRZETkRhMt3mT9VduB8IHI9Q_BeT6uPrlI72UUqej78UfqAdiczZsPOxF3Gy7bSm7Swh9Jh0_haVi-UnQxUTGq-9xQLcaMX-PuXMjf6-6sLqc15NUgoLQ1w3KWqjkt7-3NlYW4qka6LqDPRtWJxT7vICtPhjx8ecNWtW_ijqBg_W8osmZLvFGS3PzPipP1UF14AkaIp48dFV1qNqt67Yta8ebXH7SHGkUhfcA5R-O0B8t-Q7sWL4NTN8AdKQF02HMqs_duf-4FLf2p7Rbpsc=N; expires=Fri, 06 Oct 2017 11:30:27 GMT; path=/signin-oidc; httponly Set-Cookie: .AspNetCore.Correlation.OpenIdConnect.BqW1filmAVCStL92ghXFQZBoLQjG5-Gl_m60zxCW9BA=N; expires=Fri, 06 Oct 2017 11:30:27 GMT; path=/signin-oidc; httponly
因爲咱們尚未登陸,會執行context.ChallengeAsync()方法,而咱們在上面指定了DefaultChallengeScheme爲:OpenIdConnectDefaults.AuthenticationScheme,所以會進入到OpenIdConnectHandler中來。
如上,重定向到了OIDC服務器,並寫入了.AspNetCore.OpenIdConnect.Nonce.xxx和.AspNetCore.Correlation.OpenIdConnect.xxx兩個Cookie,前者是OIDC的標準,會包含在ID Token中,用來減緩重放攻擊,後者由Options.CorrelationCookie.Name + Scheme.Name + "." + correlationId組成, 用於防止CSRF。
而重定向地址中包含以下幾個參數:
client_id 客戶端標識,對應於
OpenIdConnectOptions.ClientId。redirect_uri 回調地址,對應於
OpenIdConnectOptions.CallbackPath。response_type 受權類型,對應於
OpenIdConnectOptions.ResponseType。scope 權限範圍,對應於
OpenIdConnectOptions.Scope。response_mode 響應模式,對應於
OpenIdConnectOptions.ResponseMode,表示OIDC服務器來跳轉到咱們的應用時傳遞參數的方式。nonce OIDC服務器會在
identity token中包含此參數,在認證時與Cookie中的.AspNetCore.OpenIdConnect.Nonce.xxx對比驗證。state 用於保存狀態,會原封不動地返回,在 ASP.NET Core 中,用
AuthenticationProperties對象來表示。x-client-SKU/x-client-ver IdentityServer附加信息。
在OIDC服務器登陸成功後,connect/authorize輸出的是一個自動提交的表單:
<form method='post' action='http://localhost:5002/signin-oidc'>
<input type='hidden' name='code' value='eb53860906da276a1bb5318c5d539db085c6ca1fd3467da9d918aa7524f20f63' />
<input type='hidden' name='id_token' value='eyJhbGciOiJSUzI1NiIsImtpZCI6IjdlYzk5MjVlMmUzMTA2NmY2ZmU2ODgzMDRhZjU1ZmM0IiwidHlwIjoiSldUIn0.eyJuYmYiOjE1MDcyODg1MjcsImV4cCI6MTUwNzI4ODgyNywiaXNzIjoiaHR0cDovL29pZGMuZmFhc3guY29tIiwiYXVkIjoib2lkYy5oeWJyaWQiLCJub25jZSI6IjYzNjQyODg1MzI3OTI4Nzk1Ni5OMkl4Wm1GbFpEZ3RORE5tWkMwME9UUm1MVGxqTVdJdE5UVmpNbVF3T1RWak5UUTNNV1V5TURjeE5UY3RaRGc0WXkwME1EUmlMVGhtTm1RdFlqRTFZVGRqT0dFNE1UaG0iLCJpYXQiOjE1MDcyODg1MjcsImNfaGFzaCI6ImJNT1FNVGdDV3VMX25EbHo5MDU4M3ciLCJzaWQiOiJjZTVjODg2ZmFhZDFiNTc4MDVkNzExYjkzZTliYWQ0ZiIsInN1YiI6IjAwMSIsImF1dGhfdGltZSI6MTUwNzI4ODM5NSwiaWRwIjoibG9jYWwiLCJhbXIiOlsicHdkIl19.BBn0SigvOW9USk-Mi1WP_lJPWI9I06gsuomhqp69Ip5y3kqFyiBCVanzULsR4fBa0tOOBOtcPJzAfivzLqsMRwW1QfRamfVIlXuuzcRsR8WP1pFxvFPekwKi-D6-RLmmQzUT-_78WvboiAu_dZtwe0cm4ZLDCJH6LLCPs2xXTHYuNI7YoyAgeGKDAhWle0VrsbdlrcubPPgQFfFXPdLDInnLr8eEMpUZ7nru0FJgxm3Ah4hGXPKMud8jhLUMXDcSaKseL8tDgxIowmhpXOknU-y9x5FlrZUFOReDxaBZe7DG5V0xsPrdhMxMkZQbHHz8cJoaYrqcwHClm8rScEPxVA' />
<input type='hidden' name='scope' value='openid profile' />
<input type='hidden' name='state' value='CfDJ8B4XRZETkRhMt3mT9VduB8LSACJO9seruKlM3kYPxaRyWcUSt0BvPMd6RUGAiay8qraTWLdMh9B3ClRJDE-BtMRYTmzGJSHegueIW-fyq2G9TpUtSQCd23BxAYrdB4SeGQte2IXaQ82cKMz-aSHQ7TTzhPO_fgDtIVlwDJBtwgKQzEkEyyLsfH2DHxwr_Ojn3M-uRHId2bi9RF2gR_1hqoTdYlv-CZodFKuUGSMCqJO4cZLsuuAb-PrSnamz7h7MOpPixIOgQq5gd25sxF8avpSTsoT5HbU2fCiqX7g3rbCLzMG-rTnDftN8uZRiqc-JcyGkLPGIoj-FLNoW_yfZbGk' />
<input type='hidden' name='session_state' value='g0m_0W2scFKHxVQP_8jdNt48r2XV8wDlF__-ST9aYtk.28e1d34baad6d122a92c667329084600' />
</form>
<script>(function(){document.forms[0].submit();})();</script>
如上,能夠看到,表單中包含有id_token,由於咱們使用的是code id_token類型,而後便進入到了咱們應用程序的OIDC認證邏輯中:
首先經過IdToken,能夠來解析出AuthenticationProperties,ClaimsPrincipal等信息,而後使用Code,調用TokenEndpoint,獲取access_token等信息:
{
"id_token": "....",
"access_token": "...",
"expires_in": 3600,
"token_type": "Bearer"
}
由於咱們將SaveTokens設置爲true,則會將token信息保存到AuthenticationProperties中來:
public class OpenIdConnectHandler : RemoteAuthenticationHandler<OpenIdConnectOptions>, IAuthenticationSignOutHandler
{
protected override async Task<HandleRequestResult> HandleRemoteAuthenticateAsync()
{
...
if (Options.SaveTokens)
{
SaveTokens(properties, tokenEndpointResponse ?? authorizationResponse);
}
...
}
private void SaveTokens(AuthenticationProperties properties, OpenIdConnectMessage message)
{
var tokens = new List<AuthenticationToken>();
if (!string.IsNullOrEmpty(message.AccessToken))
{
tokens.Add(new AuthenticationToken { Name = OpenIdConnectParameterNames.AccessToken, Value = message.AccessToken });
}
if (!string.IsNullOrEmpty(message.IdToken))
{
tokens.Add(new AuthenticationToken { Name = OpenIdConnectParameterNames.IdToken, Value = message.IdToken });
}
if (!string.IsNullOrEmpty(message.RefreshToken))
{
tokens.Add(new AuthenticationToken { Name = OpenIdConnectParameterNames.RefreshToken, Value = message.RefreshToken });
}
if (!string.IsNullOrEmpty(message.TokenType))
{
tokens.Add(new AuthenticationToken { Name = OpenIdConnectParameterNames.TokenType, Value = message.TokenType });
}
if (!string.IsNullOrEmpty(message.ExpiresIn))
{
if (int.TryParse(message.ExpiresIn, NumberStyles.Integer, CultureInfo.InvariantCulture, out int value))
{
var expiresAt = Clock.UtcNow + TimeSpan.FromSeconds(value);
tokens.Add(new AuthenticationToken { Name = "expires_at", Value = expiresAt.ToString("o", CultureInfo.InvariantCulture) });
}
}
properties.StoreTokens(tokens);
}
}
當咱們作身份驗證時,可能會須要更詳細的用戶Claims,能夠將GetClaimsFromUserInfoEndpoint設置爲True,使用UserInfoEndpoint返回的信息來從新建立ClaimsPrincipal對象:
protected override async Task<HandleRequestResult> HandleRemoteAuthenticateAsync()
{
...
if (Options.GetClaimsFromUserInfoEndpoint)
{
return await GetUserInformationAsync(tokenEndpointResponse ?? authorizationResponse, jwt, user, properties);
// UserInfoEndpoin返回的信息以下:
// {
// "name": "Alice Smith",
// "given_name": "Alice",
// "family_name": "Smith",
// "website": "http://alice.com",
// "sub": "001"
// }
}
else
{
var identity = (ClaimsIdentity)user.Identity;
foreach (var action in Options.ClaimActions)
{
action.Run(null, identity, ClaimsIssuer);
}
}
return HandleRequestResult.Success(new AuthenticationTicket(user, properties, Scheme.Name));
}
最後調用CookieHandler的SignInAsync方法,將AuthenticationTicket寫入到Cookie中,響應以下:
HTTP/1.1 302 Found Location: http://localhost:5002/profile Set-Cookie: .AspNetCore.Correlation.OpenIdConnect.02q09RpgJBAi3rGZwy0WiyHUWGgLuDQIbVRUJuEXYBw=; expires=Thu, 01 Jan 1970 00:00:00 GMT; path=/signin-oidc; samesite=lax Set-Cookie: .AspNetCore.OpenIdConnect.Nonce.xxx=; expires=Thu, 01 Jan 1970 00:00:00 GMT; path=/signin-oidc; samesite=lax Set-Cookie: .AspNetCore.Cookies=chunks-2; path=/; samesite=lax; httponly Set-Cookie: .AspNetCore.CookiesC1=xxx; path=/; samesite=lax; httponly Set-Cookie: .AspNetCore.CookiesC2=xxx; path=/; samesite=lax; httponly
瀏覽器中顯示以下:
接下來可使用Token中的access_token訪問OIDC中的受保護資源(與OAuth用法同樣),也可用使用Claims進行受權。能夠看出,OIDC的認證流程比OAuth更加便捷和嚴謹,感興趣的能夠查看 OpenIdConnectHandler 的源碼來更深一步的瞭解。
退出
退出分爲兩種,一種是本地的退出,並不會使OIDC服務器退出,只須要簡單的調用CookieHandler的SignOutAsync便可,無需多說。
而遠程退出則會同時退出本地應用和OIDC服務器,大體邏輯是先跳轉到OIDC服務器,退出後,OIDC服務器會回調本地應用,完成本地的退出,該回調地址是經過OpenIdConnectOptions.RemoteSignOutPath指定的。
當咱們點擊退出時,首先執行OpenIdConnectHandler的SignOutAsync方法,Http報文以下:
請求報文: GET http://localhost:5002/signout-remote HTTP/1.1 Cookie: .AspNetCore.Cookies=xxx 響應報文: HTTP/1.1 302 Found Location: http://oidc.faasx.com/connect/endsession?post_logout_redirect_uri=http://localhost:5002/signout-callback-oidc&id_token_hint=eyJhbGciOiJSUzI1NiIsImtpZCI6IjdlYzk5MjVlMmUzMTA2NmY2ZmU2ODgzMDRhZjU1ZmM0IiwidHlwIjoiSldUIn0.eyJuYmYiOjE1MDc0MjgzMTAsImV4cCI6MTUwNzQyODYxMCwiaXNzIjoiaHR0cDovL29pZGMuZmFhc3guY29tIiwiYXVkIjoib2lkYy5oeWJyaWQiLCJub25jZSI6IjYzNjQzMDI1MTExOTUyNjYxNS5NVFU0WXpNMFl6RXRZemcwWmkwME5UWTFMVGcyTW1ZdE5XUmtZbUZtTUdabU5UWXlaalF6TkRReE9HWXROalEwWXkwMFpHTmtMVGhqTlRFdE1XWTROV0V3TW1NM09UZG0iLCJpYXQiOjE1MDc0MjgzMTAsImF0X2hhc2giOiJQSHRvd1JrUHhYLWNsclBzRnYxMkpnIiwic2lkIjoiMzFmMWJmMTA1MTU4MmZjMGE3ZTZhZjFjY2I0Y2RlMzUiLCJzdWIiOiIwMDEiLCJhdXRoX3RpbWUiOjE1MDc0MjgzMTAsImlkcCI6ImxvY2FsIiwiYW1yIjpbInB3ZCJdfQ.hIxkDhsx_WE6IxM68O7uqkqdQquXXnOtxhlnrYiBJuU7Ex_aApVXoKUdHS8HMx1nLswntr6SRsrygyMJnGMdzP5JutGsmfO_i1WYGqk3BlTD7ry0wfBd_U9OaVFcJhcVZq4q5u3SA47Wxqex9vifiHrTBQFT_l6JqpevRLn-y91IxTl9rnXKfrHowhPsHJjdLzda3Lyj0wWWtb2N_ng19mRChmDd4RXucP9mBHdQDyLZtvIJ5iIzV4pqtL7VCylFzV4RBLbCzUeuRnHI3E_MqTaGWvVyFbUAKpr55TmVoc6lAOS4ie4CPzilR52KLWZ4l9eQh-WeIOA3NBgzHlJigg&state=CfDJ8B4XRZETkRhMt3mT9VduB8IbG5c9um6S_maiHLsMKlIFRVtKMyLuXfqgB6e1OhWWVVJDYbgedt6hmyi1ny2aMbKW-SgHTru73YezUAZpre2ELXM3trlnX3YW_FTkcGE_RUyaR3hQ3eEYFmMdgdZdf0M&x-client-SKU=ID_NET&x-client-ver=2.1.4.0
而後瀏覽器跳轉到OIDC服務器,顯示以下:
其HTML中還嵌套一個IFrame:
<iframe width="0" height="0" class="signout" src="http://oidc.faasx.com/connect/endsession/callback?endSessionId=CfDJ8ADnXgOvSAFKqD4LwO6fek3_sYV1rgqtFD-CM4iSTjIo5wVq7lP0euy9tskf5BZ5hJHGweIMBQcnOcc4UR35xe94aaywrULsbUfA8n_qNkVvtJbU0-EKMG2cadbhc6AHm06yyr8WpPEhZUvcVwlBFWNYnU9X6KErwyTE3oEe0yx-mOxWacIwWUbblQRjElil6PXICoR-0J6I4GfkPFRyHyja4EJz4IK_Ik-vr1Lw_CoAbpSQij2eIj54HfeE41TBJceoMNGJq8hJO_ybL-CKma1hNJ_sQ3Jc9h5uS8Y5oEig"></iframe>
該IFrame中的內容以下:
<!DOCTYPE html>
<html>
<style>iframe{display:none;width:0;height:0;}</style>
<body>
<iframe src='http://localhost:5002/signout-oidc?sid=854b9825a8cf571f7995e1ebafde8d37&iss=http%3A%2F%2Foidc.faasx.com'>
</iframe>
</body></html>
在用戶毫無感受的狀況下,調用咱們的應用服務器中配置的回調地址OpenIdConnectOptions.RemoteSignOutPath,清除本地的Cookie,實現同步退出:
protected virtual async Task<bool> HandleRemoteSignOutAsync()
{
OpenIdConnectMessage message = null;
if (string.Equals(Request.Method, "GET", StringComparison.OrdinalIgnoreCase))
{
message = new OpenIdConnectMessage(Request.Query.Select(pair => new KeyValuePair<string, string[]>(pair.Key, pair.Value)));
}
...
var remoteSignOutContext = new RemoteSignOutContext(Context, Scheme, Options, message);
await Events.RemoteSignOut(remoteSignOutContext);
...
await Context.SignOutAsync(Options.SignOutScheme);
return true;
}
而上圖中的here連接則跳轉到OpenIdConnectOptions.SignedOutCallbackPath,執行HandleSignOutCallbackAsync方法,咱們能夠經過註冊事件的方式來附加一些業務邏輯:
protected async virtual Task<bool> HandleSignOutCallbackAsync()
{
var message = new OpenIdConnectMessage(Request.Query.Select(pair => new KeyValuePair<string, string[]>(pair.Key, pair.Value)));
...
var signOut = new RemoteSignOutContext(Context, Scheme, Options, message) { Properties = properties };
await Events.SignedOutCallbackRedirect(signOut);
...
if (!string.IsNullOrEmpty(properties?.RedirectUri))
{
Response.Redirect(properties.RedirectUri);
}
return true;
}
總結
本文簡單介紹了OAuth和OpenID Connect的基本概念以及它們在 ASP.NET Core 中做爲認證客戶端的實現,若是咱們只須要 "訪問第三方資源" 的受權,使用OAuth認證便可。而在咱們須要對本身的多個應用進行統一的身份驗證時,應該使用OpenID Connect來實現,OpenID Connect不只包含身份驗證,還包含OAuth的受權協議,是更加推薦的作法。在下一章中來介紹一下另外一種本地認證方式:JWTBearer,也是在現代Web應用中比較流行的認證方式。
- 1. ASP.NET Core 認證與受權[3]:OAuth & OpenID Connect認證
- 2. Asp.net Core認證和受權:Cookie認證
- 3. ASP.NET Core 認證與受權[4]:JwtBearer認證
- 4. [認證受權] 4.OIDC(OpenId Connect)身份認證受權(核心部分)
- 5. ASP.NET Core 學習筆記(認證受權)
- 6. ASP.NET Core 認證與受權[2]:Cookie認證
- 7. 認證受權:IdentityServer4
- 8. asp.net core 2.0的認證和受權
- 9. asp.net core的認證和受權
- 10. 認證與受權:2、session認證
- 更多相關文章...
- • MySQL默認值(DEFAULT) - MySQL教程
- • XML 驗證 - XML 教程
- • Composer 安裝與使用
- • Spring Cloud 微服務實戰(三) - 服務註冊與發現
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. ASP.NET Core 認證與受權[3]:OAuth & OpenID Connect認證
- 2. Asp.net Core認證和受權:Cookie認證
- 3. ASP.NET Core 認證與受權[4]:JwtBearer認證
- 4. [認證受權] 4.OIDC(OpenId Connect)身份認證受權(核心部分)
- 5. ASP.NET Core 學習筆記(認證受權)
- 6. ASP.NET Core 認證與受權[2]:Cookie認證
- 7. 認證受權:IdentityServer4
- 8. asp.net core 2.0的認證和受權
- 9. asp.net core的認證和受權
- 10. 認證與受權:2、session認證