Asp.Net Core 中IdentityServer4 受權中心之自定義受權模式

1、前言

上一篇我分享了一篇關於 Asp.Net Core 中IdentityServer4 受權中心之應用實戰 的文章，其中有很多博友給我提了問題，其中有一個博友問個人一個場景，我給他解答的還不夠完美，以後我通過本身的學習查閱並閱讀了相關源代碼，發現 IdentityServer4 能夠實現自定義GrantType 受權方式。

聲明：看這篇文章時若是你沒有閱讀我上一篇 Asp.Net Core 中IdentityServer4 受權中心之應用實戰 的文章，那請先移步看上面的文章，再來看這篇文章會更加清晰，感謝支持，感謝關注！

2、場景模擬

上篇文章已經把電商系統從單一網關架構升級到多網關架構，架構圖以下：

然而上面的受權中心 使用的是密碼受權模式，可是對於微信小程序、微信公衆號商城端使用的受權還不是很合適；
微信小程序和微信公衆號微商城客戶端的場景以下：
用戶訪問小程序商城或者微信公衆號商城後會到微信服務端得到受權拿到相關的用戶openId、unionId、userName 等相關信息，再攜帶openId、unionId、userName等信息訪問受權中心網關，進行受權，若是不存在則自動註冊用戶，若是存在則登陸受權成功等操做。那這個場景後我該如何改造受權中心服務網關呢？通過研究和探討，我把上面的架構圖細化成以下的網關架構圖：

3、受權中心改造升級

上一篇文章中咱們的解決方案中已經創建了三個項目：

• Jlion.NetCore.Identity.Service：受權中心 網關 - WebApi 項目
• Jlion.NetCore.Identity.UserApiService ：用戶業務網關 -WebApi項目
• Jlion.NetCore.Identity ：基礎類庫，主要用於把公共的基礎設施層放到這一塊

經過上面的需求場景分析，咱們目前的受權中心還不夠這種需求，故咱們能夠經過IdentityServer4 自定義受權方式進行改造升級來知足上面的場景需求。

通過查看源代碼我發現咱們能夠經過實現IExtensionGrantValidator抽象接口進行自定義受權方式來實現，而且實現ValidateAsync 方法，
如今我在以前的解決方案受權中心項目中新增WeiXinOpenGrantValidator類代碼以下：

public class WeiXinOpenGrantValidator : IExtensionGrantValidator
{
  public string GrantType => GrantTypeConstants.ResourceWeixinOpen;

  public async Task ValidateAsync(ExtensionGrantValidationContext context)
  {
      try
      {
         #region 參數獲取
         var openId = context.Request.Raw[ParamConstants.OpenId];
         var unionId = context.Request.Raw[ParamConstants.UnionId];
         var userName = context.Request.Raw[ParamConstants.UserName];
         #endregion

         #region 經過openId和unionId 參數來進行數據庫的相關驗證
         var claimList = await ValidateUserAsync(openId, unionId);
         #endregion

         #region 受權經過
         //受權經過返回
         context.Result = new GrantValidationResult
         (
             subject: openId,
             authenticationMethod: "custom",
             claims: claimList.ToArray()
         );
         #endregion
     }
     catch (Exception ex)
     {
         context.Result = new GrantValidationResult()
         {
             IsError = true,
             Error = ex.Message
         };
     }
  }

   #region Private Method
   /// <summary>
   /// 驗證用戶
   /// </summary>
   /// <param name="loginName"></param>
   /// <param name="password"></param>
   /// <returns></returns>
   private async Task<List<Claim>> ValidateUserAsync(string openId, string unionId)
   {
      //TODO 這裏能夠經過openId 和unionId 來查詢用戶信息(數據庫查詢)，
      //我這裏爲了方便測試仍是直接寫測試的openId 相關信息用戶
      var user = OAuthMemoryData.GetWeiXinOpenIdTestUsers();

      if (user == null)
      {
         //註冊用戶
      }

      return new List<Claim>()
      {
          new Claim(ClaimTypes.Name, $"{openId}"),
      };
   }
   #endregion
 }

GrantTypeConstants 代碼是靜態類,主要用於定義GrantType的自定義受權類型，可能後續還有更多的自定義受權方式因此，統一放這裏面進行管理，方便維護，代碼以下：

public static class GrantTypeConstants
 {
     /// <summary>
     /// GrantType - 微信端受權
     /// </summary>
     public const string ResourceWeixinOpen = "weixinopen";
 }

ParamConstants 類主要是定義自定義受權須要的參數，代碼以下：

public class ParamConstants
{
    public const string OpenId = "openid";

    public const string UnionId = "unionid";

    public const string UserName = "user_name";
}

好了上面得自定義驗證器已經實現了，可是還不夠，咱們還須要讓客戶端支持自定義的受權類型，咱們打開OAuthMemoryData代碼中的GetClients,代碼以下：

public static IEnumerable<Client> GetClients()
{
    return new List<Client>
    {
        new Client()
        {
            ClientId =OAuthConfig.UserApi.ClientId,
            AllowedGrantTypes = new List<string>()
            {
                GrantTypes.ResourceOwnerPassword.FirstOrDefault(),//Resource Owner Password模式
                GrantTypeConstants.ResourceWeixinOpen,//新增的自定義微信客戶端的受權模式
            },
            ClientSecrets = {new Secret(OAuthConfig.UserApi.Secret.Sha256()) },
            AllowedScopes= {OAuthConfig.UserApi.ApiName},
            AccessTokenLifetime = OAuthConfig.ExpireIn,
        },
                
    };
}

客戶端AllowedGrantTypes 配置新增了我剛剛自定義的受權方式GrantTypeConstants.ResourceWeixinOpen,
如今客戶端的支持也已經配置好了，最後咱們須要經過AddExtensionGrantValidator<>擴展方法把自定義受權驗證器註冊到DI中，代碼以下：

public void ConfigureServices(IServiceCollection services)
{
    services.AddControllers();


    #region 數據庫存儲方式
    services.AddIdentityServer()
        .AddDeveloperSigningCredential()
        .AddInMemoryApiResources(OAuthMemoryData.GetApiResources())
        //.AddInMemoryClients(OAuthMemoryData.GetClients())
        .AddClientStore<ClientStore>()
        .AddResourceOwnerValidator<ResourceOwnerPasswordValidator>()
        .AddExtensionGrantValidator<WeiXinOpenGrantValidator>();
    #endregion
 }

好了，簡單的受權中心代碼升級已經完成，咱們分別經過命令行運行受權中心和用戶業務網關 ，以前的用戶業務網關無需改動任何代碼，運行圖分別以下：

Jlion.NetCore.Identity.Server 受權中心運行以下

Jlion.NetCore.Identity.UserApiServer 用戶業務網關運行以下

咱們如今用postman模擬openId、unionId、userName參數來請求受權中心得到AccessToken，請求以下：

咱們再經過postman 攜帶受權信息訪問用戶業務網關數據，結果圖以下：

好了，自定義受權模式已經完成，簡單的受權中心也已經升級完成，上面WeiXinOpenGrantValidator驗證器中我沒有直接走數據庫方式進行驗證和註冊，簡單的寫了個Demo ，你們有興趣能夠 把TODO那一快數據庫的操做去實現，代碼我已經提交到 github上了，這裏再次分享下我博客同步實戰的demo 地址 https://github.com/a312586670/IdentityServerDemo

4、思考與總結

本篇我介紹了自定義受權方式，經過查看源代碼及查閱資料學習了IdentityServer4 能夠經過自定義受權方式進行擴展。這樣受權中心能夠擴展多套受權方式，好比今天所分享的 自定義微信openId 受權、短信驗證碼受權等其餘自定義受權，一套Api資源能夠兼併多套受權模式，靈活擴展，靈活升級。本篇涉及的知識點很少，可是很是重要，由於咱們在使用受權中心統一身份認證時常常會遇到多種認證方式的結合，和多套不一樣應用用戶的使用，在掌握了受權原理後，就能在不一樣的受權方式中切換的遊刃有餘，到這裏有的博友會問AccentToken 有過時時間，會過時怎麼辦？難道要從新受權一次嗎？這些問題我會安排下一篇文章分享。

靈魂一問：

上面的受權中心 例子主要是爲了讓你們更好的理解自定義受權的使用場景及它的靈活性，真實的場景這樣直接把 openId等相關信息來驗證受權安全嗎？你們能夠能夠思考下，若是不安全你們又有什麼好的解決方案呢？自我提高在於不停的自我思考，你們能夠敬請的發揮本身的思考，把答案留在留言板中，以供你們參考學習，感謝！！！