Asp.Net Core 中IdentityServer4 實戰之 Claim詳解
1、前言
因爲疫情緣由,讓我開始了以博客的方式來學習和分享技術(持續分享的過程也是本身學習成長的過程),同時也讓更多的初學者學習到相關知識,若是個人文章中有分析不到位的地方,還請你們多多指教;之後我會持續更新個人文章,望你們多多支持和關注。
上幾篇文章主要分享了IdentityServer4在Asp.Net Core 3.x 中的應用,在上面的幾篇分享中有一部分博友問了我這麼一個問題"他經過IdentityServer4 來搭建受權中心網關服務,怎麼才能在訪問受保護的Api資源中獲取到用戶的相關的身份信息呢?"。
那這篇文章主要來分享認證過程當中的一個重要組成部分Claim,在開始以前強烈建議還沒看過我寫的 IdentityServer4 系列文章的同窗先看一下,下面幾篇文章中以架構思惟帶你們進入IdentityServer4 的世界html
- Asp.Net Core IdentityServer4 中的基本概念
- Asp.Net Core 中IdentityServer4 受權中心之應用實戰
- Asp.Net Core 中IdentityServer4 受權中心之自定義受權模式
- Asp.Net Core 中IdentityServer4 受權原理及刷新Token的應用
2、Claim 是什麼
Claim
Claim 個人理解是一個聲明,存儲着一個鍵值對的關係,就至關於身份證中的 姓名:特朗普 , 性別:男等等身份證的系列元素,每個項都是一個鍵值,咱們看看Claim主要代碼git
public class Claim
{
public string ClaimType { get; set; }
public string ClaimValue { get; set; }
}
代碼中主要核心兩個屬性 ClaimType 和ClaimValue;ClaimType 就是Key,ClaimValue就表明一個Value。這樣的話,恰好能夠存儲一個鍵值對。這時候姓名:特朗普是否是就能夠存進去了。
同時微軟也提供了默認的ClaimType,部分默認的以下圖:
Claim 差很少已經介紹完畢,相對比較簡單清晰,Claim能夠說是身份的最小單元的聲明(身份單元)。github
ClaimsIdentity
咱們先來看看ClaimsIdentity的部分代碼,代碼以下:數據庫
public class ClaimsIdentity:IIdentity
{
public ClaimsIdentity(IEnumerable<Claim> claims){}
//名字這麼重要,固然不能讓別人隨便改啊,因此我不準 set,除了我兒子跟我姓,因此是 virtual 的
public virtual string Name { get; }
public string Label { get; set; }
//身份單元集合
public virtual IEnumerable<Claim> Claims { get; }
//這是個人證件類型,也很重要,一樣不準 set
public virtual string AuthenticationType { get; }
public virtual void AddClaim(Claim claim);
public virtual void RemoveClaim(Claim claim);
public virtual void FindClaim(Claim claim);
}
從代碼中能夠看到有一個Claims 屬性,是一個集合,看到這裏是否是能夠把咱們的身份證給聯想進去呢?咱們每一個人都有一個「身份證」(ClaimIdentity),身份證中包含了多個「身份單元」(Claim)等信息。
從代碼中還有一個特別重要的屬性AuthenticationType 翻譯成認證類型,這裏也就至關於證件類型,好比身份證,它的證件類型就是"身份證",護照證機的證機類型就是"護照"。
同時ClaimsIdentity繼承了IIdentity抽象接口,咱們再來看看這個抽象接口的代碼:api
// 定義證件對象的基本功能。
public interface IIdentity
{
//證件名稱
string Name { get; }
// 用於標識證件的載體類型。
string AuthenticationType { get; }
//是不是合法的證件。
bool IsAuthenticated { get; }
}
到這裏ClaimsIdentity介紹的差很少了,ClaimsIdentity就至關因而身份證、或者護照之類的東西,一個可以證實身份的證件。服務器
ClaimsPrincipal
一我的有了身份,就會有多重身份,好比你便是司機、校長、公司老闆等等,那你就會有駕駛證、教師證、公司的營業執照等證件。那這些證件須要一個載體去容納,那ClaimsPrincipal這個就至關因而這些證件的載體,咱們來看看它的部分核心代碼:微信
public class ClaimsPrincipal : IPrincipal
{
public ClaimsPrincipal();
public ClaimsPrincipal(IEnumerable<ClaimsIdentity> identities);
public ClaimsPrincipal(IIdentity identity);
public ClaimsPrincipal(IPrincipal principal);
public virtual IIdentity Identity { get; }
public virtual IEnumerable<ClaimsIdentity> Identities { get; }
//把證件添加到載體中
public virtual void AddIdentities(IEnumerable<ClaimsIdentity> identities);
//把證件添加到載體中
public virtual void AddIdentity(ClaimsIdentity identity);
//如下都是從載體中獲取證件等操做
public virtual IEnumerable<Claim> FindAll(Predicate<Claim> match);
public virtual IEnumerable<Claim> FindAll(string type);
public virtual Claim FindFirst(string type);
public virtual Claim FindFirst(Predicate<Claim> match);
public virtual bool HasClaim(Predicate<Claim> match);
//是否屬於某個角色
public virtual bool IsInRole(string role);
}
ClaimsPrincipal 介紹完了,我這裏把ClaimsPrincipal 它叫證件的容器載體
咱們已經知道了 「身份單元(Claims)」 , 「身份證(ClaimsIdentity)」 , 「證件容器載體(ClaimsPrincipal)」這三者的關係。
咱們簡單的來看下身份認證攜帶信息的簡化的流程圖:
好了,這裏Claim相關概念理清楚了,這裏也須要感謝下 微軟MVP大佬@Savorboard 的文章https://www.cnblogs.com/savorboard/p/aspnetcore-identity.html 讓我理清楚了這些關係!架構
3、實戰
我這裏繼續我上幾篇文章的代碼基礎上編寫,須要代碼的能夠訪問 https://github.com/a312586670/IdentityServerDemo 代碼會跟着博客同步更新。
上幾篇文章中解決方案中已經建立了以下三個項目:
async
- Jlion.NetCore.Identity :Identity公共基礎類庫
- Jlion.NetCore.Identity.Service : Ids4受權服務,也是上幾篇文章中說的
受權中心服務簡單版本 - Jlion.NetCore.Identity.UserApiService :用戶業務網關(受保護的資源)
受權中心(Ids4受權服務)
Jlion.NetCore.Identity.Service
咱們先在受權中心(ids4)服務中驗證用戶的代碼中添加用戶的相關Claims,核心代碼以下:
不熟悉的請先移步
Asp.Net Core 中IdentityServer4 受權中心之應用實戰 這篇文章ide
public class ResourceOwnerPasswordValidator : IResourceOwnerPasswordValidator
{
public async Task ValidateAsync(ResourceOwnerPasswordValidationContext context)
{
try
{
var userName = context.UserName;
var password = context.Password;
//驗證用戶,這麼能夠到數據庫裏面驗證用戶名和密碼是否正確
var claimList = await ValidateUserAsync(userName, password);
// 驗證帳號
context.Result = new GrantValidationResult
(
subject: userName,
authenticationMethod: "custom",
claims: claimList.ToArray()
);
}
catch (Exception ex)
{
//驗證異常結果
context.Result = new GrantValidationResult()
{
IsError = true,
Error = ex.Message
};
}
}
#region Private Method
/// <summary>
/// 驗證用戶
/// </summary>
/// <param name="loginName"></param>
/// <param name="password"></param>
/// <returns></returns>
private async Task<List<Claim>> ValidateUserAsync(string loginName, string password)
{
//TODO 這裏能夠經過用戶名和密碼到數據庫中去驗證是否存在,
// 以及角色相關信息,我這裏仍是使用內存中已經存在的用戶和密碼
var user = OAuthMemoryData.GetTestUsers();
if (user == null)
throw new Exception("登陸失敗,用戶名和密碼不正確");
//我這裏爲了測試,簡單的硬編碼,生產環境能夠經過數據庫中讀取到相關信息構造`Claim`(**身份單元**)
return new List<Claim>()
{
new Claim(ClaimTypes.Name, $"{loginName}"),
new Claim(EnumUserClaim.DisplayName.ToString(),"測試用戶"),
new Claim(EnumUserClaim.UserId.ToString(),"10001"),
new Claim(EnumUserClaim.MerchantId.ToString(),"000100001"),
};
}
#endregion
}
如今,多個Claim已經構建完成,多個Claim構建出了一個用戶身份,它們都屬於即將登陸的用戶所擁有的身份單元,接下來咱們還須要實現IProfileService抽象接口,
代碼以下:
public class UserProfileService : IProfileService
{
/// <summary>
///
/// </summary>
/// <param name="context"></param>
/// <returns></returns>
public async Task GetProfileDataAsync(ProfileDataRequestContext context)
{
try
{
var claims = context.Subject.Claims.ToList();
// 把認證經過的用戶身份
context.IssuedClaims = claims.ToList();
}
catch { }
}
/// <summary>
///
/// </summary>
/// <param name="context"></param>
/// <returns></returns>
public async Task IsActiveAsync(IsActiveContext context)
{
context.IsActive = true;
}
}
GetProfileDataAsync主要爲用戶加載Claims,實現該代碼而且經過AddProfileService<T>()方法添加到DI中,才能在API資源中獲取到用戶的身份信息,代碼以下:
public void ConfigureServices(IServiceCollection services)
{
services.AddControllers();
#region 數據庫存儲方式
services.AddIdentityServer()
.AddDeveloperSigningCredential()
.AddInMemoryApiResources(OAuthMemoryData.GetApiResources())
//.AddInMemoryClients(OAuthMemoryData.GetClients())
.AddClientStore<ClientStore>()
.AddResourceOwnerValidator<ResourceOwnerPasswordValidator>()
.AddExtensionGrantValidator<WeiXinOpenGrantValidator>()//添加微信端自定義方式的驗證(上篇自定義受權方式的代碼)
.AddProfileService<UserProfileService>();
#endregion
}
Api資源(受保護的資源)
Jlion.NetCore.Identity.UserApiService
咱們先來建立UserIdentityExtension擴展類,代碼以下:
public static class UserIdentityExtension
{
/// <summary>
/// 得到用戶的Name
/// </summary>
/// <param name="this"></param>
/// <returns></returns>
public static string Name(this ClaimsPrincipal @this)
{
return @this?.Identity?.Name;
}
/// <summary>
/// 得到DisplayName
/// </summary>
/// <param name="this"></param>
/// <returns></returns>
public static string DisplayName(this ClaimsPrincipal @this)
{
var value = @this?.Claims?.FirstOrDefault(oo => oo.Type == EnumUserClaim.DisplayName.ToString())?.Value;
return value;
}
public static string UserId(this ClaimsPrincipal @this)
{
return @this?.Claims?.FirstOrDefault(oo => oo.Type == EnumUserClaim.UserId.ToString())?.Value;
}
public static string MerchantId(this ClaimsPrincipal @this)
{
return @this?.Claims?.FirstOrDefault(oo => oo.Type == EnumUserClaim.MerchantId.ToString())?.Value;
}
}
再在原來的代碼基礎上新增UserController控制器,代碼以下:
[Authorize]
[ApiController]
[Route("[controller]")]
public class UserController : ControllerBase
{
private readonly ILogger<UserController> _logger;
public UserController(ILogger<UserController> logger)
{
_logger = logger;
}
}
UserController控制器已經建立完了,繼承了ControllerBase基類,咱們來看看ControllerBase包含了哪些信息,核心的代碼以下:
/// <summary>
/// A base class for an MVC controller without view support.
/// </summary>
[Controller]
public abstract class ControllerBase
{
//經過請求上下文中得到User(證件載體容器)
public ClaimsPrincipal User => HttpContext?.User;
//其餘核心代碼沒有貼出來,具體的能夠看官方源代碼
}
看了源代碼,咱們是否是能夠考慮使用User來獲取身份證件中的某些身份元件呢?,在UserController添加獲取用戶信息的接口,完整代碼以下:
[Authorize]
[ApiController]
[Route("[controller]")]
public class UserController : ControllerBase
{
private readonly ILogger<UserController> _logger;
public UserController(ILogger<UserController> logger)
{
_logger = logger;
}
[HttpGet]
public async Task<object> Get()
{
//經過ClaimsPrincipal(證件容器載體)得到某些證件的身份元件
var userId = User.UserId();
return new
{
name = User.Name(),
userId = userId,
displayName = User.DisplayName(),
merchantId = User.MerchantId(),
};
}
}
好了,代碼已經構建完成!!!
如今我把兩個服務經過命令行啓動起來.
Jlion.NetCore.Identity.Service啓動以下圖:
我這裏仍是以"http://localhost:5000" 地址啓動
Jlion.NetCore.Identity.UserApiService 啓動以下圖:
這裏以"http://localhost:5001"地址啓動
如今咱們經過postman 訪問ids4服務器得到accesstoken 以下圖:
獲取access_token 成功,我再攜帶access_token訪問 用戶業務網關,以下圖:
成功獲取到用戶身份信息 Claims相關信息。
結論:ids4受權服務中構建用戶身份信息(Claim)經過身份容器載體ClaimsPrincipal載入(具體載入到哪裏?是怎麼攜帶到Api資源網關中的?下篇文章再來分享具體的原理和流程);再通過受保護的Api資源網關中經過ClaimsPrincipal身份容器載體得到當前用戶的相關信息後就能夠作一些基於角色受權及業務相關的事情。
博客系列文章源代碼地址:https://github.com/a312586670/IdentityServerDemo
參考文章:
https://www.cnblogs.com/savorboard/p/aspnetcore-identity.html
- 1. Asp.Net Core 中IdentityServer4 受權中心之應用實戰
- 2. IdentityServer4實戰 - 基於角色的權限控制及Claim詳解
- 3. asp.net core IdentityServer4 概述
- 4. IdentityServer4在Asp.Net Core中的應用(三)
- 5. Asp.Net Core 中IdentityServer4 受權中心之自定義受權模式
- 6. ASP.NET Core Identity 實戰(2)——註冊、登陸、Claim
- 7. IdentityServer4實戰 - JWT Issuer 詳解
- 8. Asp.Net Core IdentityServer4 中的基本概念
- 9. IdentityServer4 中文文檔與實戰
- 10. 【.NET Core】ASP.NET Core之IdentityServer4(1):快速入門
- 更多相關文章...
- • 免費ARP詳解 - TCP/IP教程
- • Spring體系結構詳解 - Spring教程
- • Flink 數據傳輸及反壓詳解
- • Scala 中文亂碼解決
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. Asp.Net Core 中IdentityServer4 受權中心之應用實戰
- 2. IdentityServer4實戰 - 基於角色的權限控制及Claim詳解
- 3. asp.net core IdentityServer4 概述
- 4. IdentityServer4在Asp.Net Core中的應用(三)
- 5. Asp.Net Core 中IdentityServer4 受權中心之自定義受權模式
- 6. ASP.NET Core Identity 實戰(2)——註冊、登陸、Claim
- 7. IdentityServer4實戰 - JWT Issuer 詳解
- 8. Asp.Net Core IdentityServer4 中的基本概念
- 9. IdentityServer4 中文文檔與實戰
- 10. 【.NET Core】ASP.NET Core之IdentityServer4(1):快速入門