.Net Core 3.0 IdentityServer4 快速入門
.Net Core 3.0 IdentityServer4 快速入門
1、簡介
IdentityServer4是用於ASP.NET Core的OpenID Connect和OAuth 2.0框架。html
將IdentityServer4部署到您的應用中具有以下特色:前端
1)、認證服務web
2)、單點登錄json
3)、API訪問控制後端
4)、聯合網關api
5)、專一於定製瀏覽器
6)、成熟的開源系統安全
7)、免費和商業支持服務器
2、總體部署
目前大多數的應用程序或多或少看起來是上圖所示這樣的,最多見的交互場景有(瀏覽器與Web應用程序、Web應用程序與WebApi通信、本地應用程序獄WebApi通信、基於瀏覽器的應用程序與WebApi 通信、基本服務器的應用程序與WebApi通信、WebApi與WebApi通信)app
前端、中間層、後端各個層級爲了保護資源常常要針對相同的用戶倉儲區實現身份認證和受權,可是若是咱們把這些基本的安全功能統一頒發給一個安全令牌服務,就能夠沒必要再讓這些應用和端點之間重複實現這些基礎安全功能,重組應用程序以支持安全令牌服務將會引導出如下體系結構和協議
這樣的設計將會把安全問題分爲兩個部分:(身份驗證和API訪問)
3、IdentityServer4如何提供幫助
IdentityServer是將規範兼容的OpenID Connect和OAuth 2.0端點添加到任意ASP.NET Core應用程序的中間件。一般,您構建(或從新使用)包含登陸和註銷頁面的應用程序,IdentityServer中間件會向其添加必要的協議頭,以便客戶端應用程序能夠與其對話 使用這些標準協議。
4、術語
1)、Users(用戶):用戶是使用已註冊的客戶端訪問資源的人
2)、Clients(客戶端):客戶端就是從identityserver請求令牌的軟件(你能夠理解爲一個app便可),既能夠經過身份認證令牌來驗證識別用戶身份,又能夠經過受權令牌來訪問服務端的資源。可是客戶端首先必須在申請令牌前已經在identityserver服務中註冊過。實際客戶端不只能夠是Web應用程序,app或桌面應用程序(你就理解爲pc端的軟件便可),SPA,服務器進程等
3)、Resources(資源):
資源就是你想用identityserver保護的東東,能夠是用戶的身份數據或者api資源。
每個資源都有一個惟一的名稱,客戶端使用這個惟一的名稱來肯定想訪問哪個資源(在訪問以前,實際identityserver服務端已經配置好了哪一個客戶端能夠訪問哪一個資源,因此你沒必要理解爲客戶端只要指定名稱他們就能夠隨便訪問任何一個資源)。
用戶的身份信息實際由一組claim組成,例如姓名或者郵件都會包含在身份信息中(未來經過identityserver校驗後都會返回給被調用的客戶端)。
API資源就是客戶端想要調用的功能(一般以json或xml的格式返回給客戶端,例如webapi,wcf,webservice),一般經過webapi來創建模型,可是不必定是webapi,我剛纔已經強調可使其餘類型的格式,這個要看具體的使用場景了。
4)、Identity Token(身份令牌):
一個身份令牌指的就是對認證過程的描述。它至少要標識某個用戶(Called the sub aka subject claim)的主身份信息,和該用戶的認證時間和認證方式。可是身份令牌能夠包含額外的身份數據,具體開發者能夠自行設定,可是通常狀況爲了確保數據傳輸的效率,開發者通常不作過多額外的設置,你們也能夠根據使用場景自行決定。
5)、Access Token(訪問令牌):
訪問令牌容許客戶端訪問某個 API 資源。客戶端請求到訪問令牌,而後使用這個令牌來訪問 API資源。訪問令牌包含了客戶端和用戶(若是有的話,這取決於業務是否須要,但一般沒必要要)的相關信息,API經過這些令牌信息來授予客戶端的數據訪問權限。
5、代碼快速入門 (使用客戶端憑據保護)
1)、IdentityServer
a)、定義Api資源和客戶端
Api 是您系統中要保護的資源,資源的定義能夠經過多種方式
客戶端代碼中的ClientId和ClientSecret你能夠視爲應用程序自己的登陸名和密碼,它將您的應用程序標識到IdentityServer 服務器,以便它知道哪一個應用程序正在嘗試與其鏈接
using IdentityServer4.Models; using System.Collections.Generic; namespace IdentityServer { public static class Config { public static IEnumerable<ApiResource> Apis => new List<ApiResource> { new ApiResource("api1","My API") }; public static IEnumerable<Client> Clients => new List<Client> { new Client { ClientId="client", AllowedGrantTypes =GrantTypes.ClientCredentials, ClientSecrets={ new Secret("aju".Sha256()) }, AllowedScopes={ "api1"} } }; } }
b)、配置IdentityServer
using Microsoft.AspNetCore.Builder; using Microsoft.AspNetCore.Hosting; using Microsoft.Extensions.DependencyInjection; using Microsoft.Extensions.Hosting; namespace IdentityServer { public class Startup { // This method gets called by the runtime. Use this method to add services to the container. // For more information on how to configure your application, visit https://go.microsoft.com/fwlink/?LinkID=398940 public void ConfigureServices(IServiceCollection services) { var builder = services.AddIdentityServer() .AddInMemoryApiResources(Config.Apis) .AddInMemoryClients(Config.Clients); builder.AddDeveloperSigningCredential(); } // This method gets called by the runtime. Use this method to configure the HTTP request pipeline. public void Configure(IApplicationBuilder app, IWebHostEnvironment env) { if (env.IsDevelopment()) { app.UseDeveloperExceptionPage(); } app.UseIdentityServer(); //app.UseRouting(); //app.UseEndpoints(endpoints => //{ // endpoints.MapGet("/", async context => // { // await context.Response.WriteAsync("Hello World!"); // }); //}); } } }
c)、測試(若是配置合適,在瀏覽器訪問 http://localhost:5000/.well-known/openid-configuration 出現以下表示配置OK)
首次啓動時,IdentityServer將爲您建立一個開發人員簽名密鑰,該文件名爲tempkey.rsa。您無需將該文件簽入源代碼管理中,若是不存在該文件將被從新建立。
d)、所需的包
2)、添加Api資源
a)、添加一個名爲IdentityController的控制器
using Microsoft.AspNetCore.Authorization; using Microsoft.AspNetCore.Mvc; using System.Linq; namespace Api.Controllers { [Route("identity")] [Authorize] public class IdentityController : ControllerBase { public IActionResult Get() { return new JsonResult(from c in User.Claims select new { c.Type, c.Value }); } } }
b)、配置(將身份認證服務添加到DI,並將身份驗證中間件添加到管道)
using Microsoft.AspNetCore.Builder; using Microsoft.AspNetCore.Hosting; using Microsoft.Extensions.Configuration; using Microsoft.Extensions.DependencyInjection; using Microsoft.Extensions.Hosting; namespace Api { public class Startup { public Startup(IConfiguration configuration) { Configuration = configuration; } public IConfiguration Configuration { get; } // This method gets called by the runtime. Use this method to add services to the container. public void ConfigureServices(IServiceCollection services) { services.AddControllers(); services.AddAuthentication("Bearer").AddJwtBearer("Bearer", options => { options.Authority = "http://localhost:5000"; options.RequireHttpsMetadata = false; options.Audience = "api1"; }); } // This method gets called by the runtime. Use this method to configure the HTTP request pipeline. public void Configure(IApplicationBuilder app, IWebHostEnvironment env) { if (env.IsDevelopment()) { app.UseDeveloperExceptionPage(); } app.UseRouting(); app.UseAuthentication();//認證 app.UseAuthorization();//受權 app.UseEndpoints(endpoints => { endpoints.MapControllers(); }); } } }
AddAuthentication:將身份認證服務添加到DI比配置Bearer爲默認
AddAuthentication:將身份認證服務添加到管道中,以便對主機的每次調用都將自動執行身份驗證
AddAuthentication:添加受權中間件,以確保匿名客戶端沒法訪問咱們的API資源
http://localhost:5001/identity 在瀏覽器上訪問應返回401狀態代碼。這意味着您的API須要憑據,而且如今受IdentityServer保護。
c)、所需的包
3)、建立客戶端(已控制檯的形式)
using IdentityModel.Client; using Newtonsoft.Json.Linq; using System; using System.Net.Http; using System.Threading.Tasks; namespace Client { class Program { static async Task Main(string[] args) { // Console.WriteLine("Hello World!"); var client = new HttpClient(); var disco = await client.GetDiscoveryDocumentAsync("http://localhost:5000"); if (disco.IsError) { Console.WriteLine(disco.Error); return; } var tokenResponse = await client.RequestClientCredentialsTokenAsync(new ClientCredentialsTokenRequest { Address = disco.TokenEndpoint, ClientId = "client", ClientSecret = "aju", Scope = "api1" }); if (tokenResponse.IsError) { Console.WriteLine(tokenResponse.Error); return; } Console.WriteLine(tokenResponse.Json); Console.WriteLine("\n\n"); //call api var apiClient = new HttpClient(); apiClient.SetBearerToken(tokenResponse.AccessToken); var response = await apiClient.GetAsync("http://localhost:5001/identity"); if (!response.IsSuccessStatusCode) { Console.WriteLine(response.StatusCode); } else { var content = await response.Content.ReadAsStringAsync(); Console.WriteLine(JArray.Parse(content)); } Console.ReadLine(); } } }
a)、所需的包
4)、使用客戶端訪問Api資源
6、參考文獻
http://docs.identityserver.io/en/latest/index.html
若是對您有幫助,請點個推薦(讓更多須要的人看到哦)
- 1. .Net Core 3.0 IdentityServer4 快速入門
- 2. IdentityServer4-快速入門
- 3. 【.NET Core】ASP.NET Core之IdentityServer4(1):快速入門
- 4. IdentityServer4實現.Net Core API接口權限認證(快速入門)
- 5. .NET Core OAuth IdentityServer4 Token
- 6. EF Core 快速上手——EF Core 入門
- 7. .Net Micro Framework 快速入門
- 8. .NET Core先後端分離快速開發框架(Core.3.0+AntdVue)
- 9. .net core 入門一
- 10. IdentityServer4入門一
- 更多相關文章...
- • SQL 快速參考 - SQL 教程
- • Eclipse 快速修復 - Eclipse 教程
- • YAML 入門教程
- • Java Agent入門實戰(一)-Instrumentation介紹與使用
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. Duang!超快Wi-Fi來襲
- 2. 機器學習-補充03 神經網絡之**函數(Activation Function)
- 3. git上開源maven項目部署 多module maven項目(多module maven+redis+tomcat+mysql)後臺部署流程學習記錄
- 4. ecliple-tomcat部署maven項目方式之一
- 5. eclipse新導入的項目經常可以看到「XX cannot be resolved to a type」的報錯信息
- 6. Spark RDD的依賴於DAG的工作原理
- 7. VMware安裝CentOS-8教程詳解
- 8. YDOOK:Java 項目 Spring 項目導入基本四大 jar 包 導入依賴,怎樣在 IDEA 的項目結構中導入 jar 包 導入依賴
- 9. 簡單方法使得putty(windows10上)可以免密登錄樹莓派
- 10. idea怎麼用本地maven
- 1. .Net Core 3.0 IdentityServer4 快速入門
- 2. IdentityServer4-快速入門
- 3. 【.NET Core】ASP.NET Core之IdentityServer4(1):快速入門
- 4. IdentityServer4實現.Net Core API接口權限認證(快速入門)
- 5. .NET Core OAuth IdentityServer4 Token
- 6. EF Core 快速上手——EF Core 入門
- 7. .Net Micro Framework 快速入門
- 8. .NET Core先後端分離快速開發框架(Core.3.0+AntdVue)
- 9. .net core 入門一
- 10. IdentityServer4入門一