IdentityServer4 知多少

1. 引言

如今的應用開發層出不窮，基於瀏覽器的網頁應用，基於微信的公衆號、小程序，基於IOS、Android的App，基於Windows系統的桌面應用和UWP應用等等，這麼多種類的應用，就給應用的開發帶來的挑戰，咱們除了分別實現各個應用外，咱們還要考慮各個應用之間的交互，通用模塊的提煉，其中身份的認證和受權就是每一個應用必不可少的的一部分。而如今的互聯網，對於信息安全要求又十分苛刻，因此一套統一的身份認證和受權就相當重要。

IdentityServer4就是這樣一個框架，IdentityServer4是爲ASP.NET CORE量身定製的實現了OpenId Connect和OAuth2.0協議的認證受權中間件。

下面咱們就來介紹一下相關概念，並梳理下如何集成IdentityServer4。
也可瀏覽自行整理的IdentityServer4 百度腦圖快速瞭解。

2. OAuth2.0 && OpenId Connect

2.1. OpenId

OpenID 是一個以用戶爲中心的數字身份識別框架，它具備開放、分散性。OpenID 的建立基於這樣一個概念：咱們能夠經過 URI （又叫 URL 或網站地址）來認證一個網站的惟一身份，同理，咱們也能夠經過這種方式來做爲用戶的身份認證。

簡而言之：OpenId用於身份認證（Authentication）。

2.2. OAuth 2.0

OAuth（開放受權）是一個開放標準，目前的版本是2.0。容許用戶受權第三方移動應用訪問他們存儲在其餘服務商上存儲的私密的資源（如照片，視頻，聯繫人列表），而無需將用戶名和密碼提供給第三方應用。
OAuth容許用戶提供一個令牌而不是用戶名和密碼來訪問他們存放在特定服務商上的數據。每個令牌受權一個特定的網站內訪問特定的資源（例如僅僅是某一相冊中的視頻）。這樣，OAuth能夠容許用戶受權第三方網站訪問他們存儲在另外服務提供者的某些特定信息，而非全部內容。
OAuth是OpenID的一個補充，可是徹底不一樣的服務。

簡而言之：OAuth2.0 用於受權（Authorization）。關於OAuth2.0也可參考個人另外一篇博文OAuth2.0 知多少。

2.3. OpenId Connect

OpenID Connect 1.0 是基於OAuth 2.0協議之上的簡單身份層，它容許客戶端根據受權服務器的認證結果最終確認終端用戶的身份，以及獲取基本的用戶信息；它支持包括Web、移動、JavaScript在內的全部客戶端類型去請求和接收終端用戶信息和身份認證會話信息；它是可擴展的協議，容許你使用某些可選功能，如身份數據加密、OpenID提供商發現、會話管理等。

簡而言之：OpenId Connect = OIDC = Authentication + Authorization + OAuth2.0。

好比，Facebook、Google、QQ、微博都是比較知名的OpenId Connect提供商。

3. 術語解釋

瞭解完OpenId Connect和OAuth2.0的基本概念，咱們再來梳理下涉及到的相關術語：

1. User：用戶
2. Client：客戶端
3. Resources：Identity Data（身份數據）、Apis
4. Identity Server：認證受權服務器
5. Token：Access Token（訪問令牌）和 Identity Token（身份令牌）

4. JwtBearer 認證

4.1. HTTP身份驗證流程

HTTP提供了一套標準的身份驗證框架：服務器能夠用來針對客戶端的請求發送質詢(challenge)，客戶端根據質詢提供身份驗證憑證。質詢與應答的工做流程以下：服務器端向客戶端返回401（Unauthorized，未受權）狀態碼，並在WWW-Authenticate頭中添加如何進行驗證的信息，其中至少包含有一種質詢方式。而後客戶端能夠在請求中添加Authorization頭進行驗證，其Value爲身份驗證的憑證信息。

Bearer認證（也叫作令牌認證）是一種HTTP認證方案，其中包含的安全令牌的叫作Bearer Token。所以Bearer認證的核心是Token。那如何確保Token的安全是重中之重。一種方式是使用Https，另外一種方式就是對Token進行加密簽名。而JWT就是一種比較流行的Token編碼方式。

4.2. JWT（Json Web Token)

Json web token (JWT), 是爲了在網絡應用環境間傳遞聲明而執行的一種基於JSON的開放標準（RFC 7519）。該token被設計爲緊湊且安全的，特別適用於分佈式站點的單點登陸（SSO）場景。JWT的聲明通常被用來在身份提供者和服務提供者間傳遞被認證的用戶身份信息，以便於從資源服務器獲取資源，也能夠增長一些額外的其它業務邏輯所必須的聲明信息，該token也可直接被用於認證，也可被加密。

JWT有三部分組成：
<header>.<payload>.<signature>

1. Header：由alg和typ組成，alg是algorithm的縮寫，typ是type的縮寫，指定token的類型。該部分使用Base64Url編碼。
2. Payload：主要用來存儲信息，包含各類聲明，一樣該部分也由BaseURL編碼。
3. Signature：簽名，使用服務器端的密鑰進行簽名。以確保Token未被篡改。

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret)

5. 受權模式

OAuth2.0 定義了四種受權模式：

1. Implicit：簡化模式；直接經過瀏覽器的連接跳轉申請令牌。
2. Client Credentials：客戶端憑證模式；該方法一般用於服務器之間的通信；該模式僅發生在Client與Identity Server之間。
3. Resource Owner Password Credentials：密碼模式
4. Authorization Code：受權碼模式；

5.1. Client Credentials

客戶端憑證模式，是最簡單的受權模式，由於受權的流程僅發生在Client與Identity Server之間。

該模式的適用場景爲服務器與服務器之間的通訊。好比對於一個電子商務網站，將訂單和物流系統分拆爲兩個服務分別部署。訂單系統須要訪問物流系統進行物流信息的跟蹤，物流系統須要訪問訂單系統的快遞單號信息進行物流信息的定時刷新。而這兩個系統之間服務的受權就能夠經過這種模式來實現。

5.2. Resource Owner Password Credentials

Resource Owner其實就是User，因此能夠直譯爲用戶名密碼模式。密碼模式相較於客戶端憑證模式，多了一個參與者，就是User。經過User的用戶名和密碼向Identity Server申請訪問令牌。這種模式下要求客戶端不得儲存密碼。但咱們並不能確保客戶端是否儲存了密碼，因此該模式僅適用於受信任的客戶端。不然會發生密碼泄露的危險。該模式不推薦使用。

5.3. Authorization Code

受權碼模式是一種混合模式，是目前功能最完整、流程最嚴密的受權模式。它主要分爲兩大步驟：認證和受權。
其流程爲：

1. 用戶訪問客戶端，客戶端將用戶導向Identity Server。
2. 用戶填寫憑證信息向客戶端受權，認證服務器根據客戶端指定的重定向URI，並返回一個【Authorization Code】給客戶端。
3. 客戶端根據【Authorization Code】向Identity Server申請【Access Token】

5.4. Implicit

簡化模式是相對於受權碼模式而言的。其再也不須要【Client】的參與，全部的認證和受權都是經過瀏覽器來完成的。

6. IdentityServer4 集成

經過以上知識點的梳理，咱們對OpenId Connect 和OAuth2.0的一些相關概念有了大體認識。而IdentityServer4是爲ASP.NET CORE量身定製的實現了OpenId Connect和OAuth2.0協議的認證受權中間件。
因此天然而然咱們對IdentityServer4有了基礎的認識。下面就來介紹如何集成IdentityServer4。其主要分爲三步：

1. IdentityServer如何配置和啓用IdentityServer中間件
2. Resources如何配置和啓用認證受權中間件
3. Client如何認證和受權

6.1. Identity Server 中間件的配置和啓用

做爲一個獨立的Identity Server，它必須知道哪些資源須要保護，必須知道哪些客戶端可以容許訪問，這是配置的基礎。
因此IdentityServer中間件的配置的核心就是：

1. 配置受保護的資源列表
2. 配置容許驗證的Client

public class Startup
{
    public void ConfigureServices(IServiceCollection services)
    {
        services.AddMvc();
        // configure identity server with in-memory stores, keys, clients and scopes
        services.AddIdentityServer()
            .AddDeveloperSigningCredential()
             //配置身份資源
            .AddInMemoryIdentityResources(Config.GetIdentityResources())
              //配置API資源
            .AddInMemoryApiResources(Config.GetApiResources())
             //預置容許驗證的Client
            .AddInMemoryClients(Config.GetClients())
            .AddTestUsers(Config.GetUsers());
        services.AddAuthentication()
              //添加Google第三方身份認證服務（按需添加）
            .AddGoogle("Google", options =>
            {
                options.SignInScheme = IdentityServerConstants.ExternalCookieAuthenticationScheme;
                options.ClientId = "434483408261-55tc8n0cs4ff1fe21ea8df2o443v2iuc.apps.googleusercontent.com";
                options.ClientSecret = "3gcoTrEDPPJ0ukn_aYYT6PWo";
            })
            //若是當前IdentityServer不提供身份認證服務，還能夠添加其餘身份認證服                務提供商
            .AddOpenIdConnect("oidc", "OpenID Connect", options =>
            {
                options.SignInScheme = IdentityServerConstants.ExternalCookieAuthenticationScheme;
                options.SignOutScheme = IdentityServerConstants.SignoutScheme;
                options.Authority = "https://demo.identityserver.io/";
                options.ClientId = "implicit";
                options.TokenValidationParameters = new TokenValidationParameters
                {
                    NameClaimType = "name",
                    RoleClaimType = "role"
                };
            });
    }
    public void Configure(IApplicationBuilder app, IHostingEnvironment env)
    {
        if (env.IsDevelopment())
        {
            app.UseDeveloperExceptionPage();
        }
        //添加IdentityServer中間件到Pipeline
        app.UseIdentityServer();
        app.UseStaticFiles();
        app.UseMvcWithDefaultRoute();
    }

配置完，添加IdentityServer到Pipeline便可。

若是要支持第三方登陸服務或本身實現的OpenId Connect服務，則須要額外配置下身份認證中間件。

6.2. Resources的保護配置

配置完Identity Server，接下來咱們該思考如何來保護Resources，以及如何將全部的認證和受權請求導流到Identity Server呢？
在此以前，咱們仍是要梳理下Client訪問Resources的請求順序：

1. Client請求資源，資源若是須要進行身份認證和受權，則將請求導流到Identity Server。
2. Identity Server根據Client配置的受權類型，返回【Token】。
3. Client要可以驗證【Token】的正確性。

因此針對要保護的資源，咱們須要如下配置：

1. 指定資源是否須要保護；
2. 指定IdentityServer用來進行認證和受權跳轉；
3. Client攜帶【Token】請求資源。
4. 受保護的資源服務器要可以驗證【Token】的正確性。

代碼示例：

//使用[Authorize]特性，來顯式指定受保護的資源
[Route("[controller]")]
[Authorize]
public class IdentityController : ControllerBase
{
    [HttpGet]
    public IActionResult Get()
    {
        return new JsonResult(from c in User.Claims select new { c.Type, c.Value });
    }
}

public class Startup
{
    public void ConfigureServices(IServiceCollection services)
    {
        services.AddMvcCore()
            .AddAuthorization()
            .AddJsonFormatters();
        //指定認證方案
        services.AddAuthentication("Bearer")
              //添加Token驗證服務到DI
            .AddIdentityServerAuthentication(options =>
            {
                //指定受權地址
                options.Authority = "http://localhost:5000";
                options.RequireHttpsMetadata = false;
                options.ApiName = "api1";
            });
    }
    public void Configure(IApplicationBuilder app)
    {
        //添加認證中間件到Pipeline
        app.UseAuthentication();
        app.UseMvc();
    }
}

6.3. Client的請求配置

資源和認證服務器都配置完畢，接下來客戶端就能夠直接訪問了。
若是針對控制檯客戶端應用，三步走就能夠訪問Api：

1. 使用DiscoverClient發現Token Endpoint
2. 使用TokenClient請求Access Token
3. 使用HttpClient訪問Api
   代碼示例以下：

// discover endpoints from metadata
var disco = await DiscoveryClient.GetAsync("http://localhost:5000");
// request token（使用的是ClientCredentials受權類型）
var tokenClient = new TokenClient(disco.TokenEndpoint, "client", "secret");
var tokenResponse = await tokenClient.RequestClientCredentialsAsync("api1")
if (tokenResponse.IsError)
{
    Console.WriteLine(tokenResponse.Error);
    return;
}
Console.WriteLine(tokenResponse.Json);
Console.WriteLine("\n\n");
// call api
var client = new HttpClient();
client.SetBearerToken(tokenResponse.AccessToken);

若是針對ASP.NET Web控制檯客戶端，咱們先來回答一個問題：

1. 若是Web應用是否須要登陸？
2. 若是須要登陸，就須要進行身份認證。
3. 身份認證成功後，也就須要會話狀態的維持。

回答完上面的問題，咱們也就梳理出了配置要點：

1. 添加身份認證中間件
2. 啓用Cookie進行會話保持
3. 添加OIDC，使用咱們本身定義的IdentityServer提供的認證服務

public void ConfigureServices(IServiceCollection services)
{
    services.AddMvc();
    JwtSecurityTokenHandler.DefaultInboundClaimTypeMap.Clear();
    services.AddAuthentication(options =>
        {
            options.DefaultScheme = "Cookies";
            options.DefaultChallengeScheme = "oidc";
        })
        .AddCookie("Cookies")
        .AddOpenIdConnect("oidc", options =>
        {
            options.SignInScheme = "Cookies";
            options.Authority = "http://localhost:5000";
            options.RequireHttpsMetadata = false;
            options.ClientId = "mvc";
            options.SaveTokens = true;
        });
}
public void Configure(IApplicationBuilder app, IHostingEnvironment env
{
    if (env.IsDevelopment())
    {
        app.UseDeveloperExceptionPage();
    }
    else
    {
        app.UseExceptionHandler("/Home/Error");
    }
    app.UseAuthentication();
    app.UseStaticFiles();
    app.UseMvcWithDefaultRoute();
}

7. 最後

本文經過介紹IdentityServer4涉及到的術語和相關概念，再結合官方實例，梳理了集成IdentityServer4的大體思路。而關於如何與ASP.NET Identity、EF Core集成，本文並未涉及，詳參官方文檔。

Identity Server 官方文檔
dentityServer4 中文文檔與實戰
ASP.NET Core 認證與受權[4]:JwtBearer認證
Bearer Authentication
JSON Web Token
理解OAuth 2.0
Identity Server 受權類型