IdentityServer4系列 | 常見術語說明

時間 2020-10-25

標籤 html web 數據庫 json api 安全服務器數據結構 app ide 欄目 HTML 简体版

原文原文鏈接

1、前言

在上一篇中，咱們IdentityServer4的說明，認識到是一個基於OpenID Connect協議標準的身份認證和受權程序，並簡單的對基礎知識的認識以及區別說明，從OAuth、OpenID、OpenID Connect以及JWT等進行對比區別說明。html

而在這一篇中，咱們主要對IdentityServer4中涉及使用的特定的相關術語進行說明。web

2、術語

2.1 身份認證服務器（IdentityServer）

IdentityServer 是基於OpenID Connect協議標準的身份認證和受權程序，它實現了OpenID Connect 和 OAuth 2.0 協議。數據庫

一樣的角色，不一樣的文檔使用不一樣的術語。在有些文檔中，它（IdentityServer）可能會被叫作安全令牌服務器（security token service）、身份提供者（identity provider）、受權服務器（authorization server）、標識提供方（(IP-STS，什麼是IP-STS）等等。json

可是它們都是同樣的，都是向客戶端發送安全令牌（security token），api

IdentityServer有許多功能：安全

保護你的資源
使用本地賬戶或經過外部身份提供程序對用戶進行身份驗證
提供會話管理和單點登陸
管理和驗證客戶機
向客戶發出標識和訪問令牌
驗證令牌

2.2 用戶（User）

用戶是使用已註冊的客戶端訪問資源的人。服務器

指在id4中已經註冊的用戶數據結構

2.3 客戶端（Client）

客戶端就是從identityserver請求令牌的軟件，既能夠經過身份認證令牌來驗證識別用戶身份，又能夠經過受權令牌來訪問服務端的資源。可是客戶端首先必須在申請令牌前已經在identityserver服務中註冊過。app

實際客戶端不只能夠是Web應用程序，app或桌面應用程序，SPA，服務器進程等。ide

客戶端：web、app、桌面應用、SPA、服務器進程

2.4 資源（Resources）

資源就是你想用identityserver保護的東西，能夠是用戶的身份數據或者api資源。
每個資源都有一個惟一的名稱，客戶端使用這個惟一的名稱來肯定想訪問哪個資源

在訪問以前，實際identityserver服務端已經配置好了哪一個客戶端能夠訪問哪一個資源，因此你沒必要理解爲客戶端只要指定名稱他們就能夠隨便訪問任何一個資源

用戶的身份信息實際由一組claim組成，例如姓名或者郵件都會包含在身份信息中。

用戶身份信息未來經過identityserver校驗後都會返回給被調用的客戶端

API資源就是客戶端想要調用的功能——一般經過 Web API 來對 API 資源建模，但這不是必須的，以下說明：

一般以json或xml的格式返回給客戶端，例如webapi，wcf,webservice，可使其餘類型的格式，這個要看具體的使用場景了。

2.5 身份令牌（Id Token）

OIDC對OAuth2最主要的擴展就是提供了ID Token。來解決第三方客戶端標識用戶身份認證的問題。

OIDC的核心在於在OAuth2的受權流程中，一併提供用戶的身份認證信息（ID Token）給到第三方客戶端，ID Token使用JWT格式來包裝，得益於JWT（JSON Web Token）的自包含性，緊湊性以及防篡改機制，使得ID Token能夠安全的傳遞給第三方客戶端程序而且容易被驗證。此外還提供了UserInfo的接口，用戶獲取用戶的更完整的信息。

ID Token是一個安全令牌，表示的是認證過程的輸出，是一個受權服務器提供的包含用戶信息，還包含了用戶的認證時間和認證方式。身份令牌能夠包含額外的身份數據。

由一組Cliams構成以及其餘輔助的Cliams的JWT格式的數據結構組成。

ID Token的主要構成部分以下（使用OAuth2流程的OIDC）。

iss = Issuer Identifier：必須。提供認證信息者的惟一標識。通常是一個https的url（不包含querystring和fragment部分）。

sub = Subject Identifier：必須。iss提供的EU的標識，在iss範圍內惟一。它會被RP用來標識惟一的用戶。最長爲255個ASCII個字符。

aud = Audience(s)：必須。標識ID Token的受衆。必須包含OAuth2的client_id。

exp = Expiration time：必須。過時時間，超過此時間的ID Token會做廢再也不被驗證經過。

iat = Issued At Time：必須。JWT的構建的時間。

auth_time = AuthenticationTime：EU完成認證的時間。若是RP發送AuthN請求的時候攜帶max_age的參數，則此Claim是必須的。

nonce：RP發送請求的時候提供的隨機字符串，用來減緩重放攻擊，也能夠來關聯ID Token和RP自己的Session信息。

acr = Authentication Context Class Reference：可選。表示一個認證上下文引用值，能夠用來標識認證上下文類。

amr = Authentication Methods References：可選。表示一組認證方法。

azp = Authorized party：可選。結合aud使用。只有在被認證的一方和受衆（aud）不一致時才使用此值，通常狀況下不多使用。

ID Token一般狀況下還會包含其餘的Claims。

（畢竟上述claim中只有sub是和EU相關的，這在通常狀況下是不夠的，必須還須要EU的用戶名，頭像等其餘的資料，OIDC提供了一組公共的cliams，請移步這裏http://openid.net/specs/openid-connect-core-1_0.html#StandardClaims）。另外ID Token必須使用JWS進行簽名和JWE加密，從而提供認證的完整性、不能否認性以及可選的保密性。

簡而言之ID Token就是JWT格式的數據，包含一我的類用戶的身份認證的信息，一個ID Token的例子以下：

2.6 訪問令牌（Access Token）

訪問令牌容許客戶端訪問某個 API 資源。客戶端請求到訪問令牌，而後使用這個令牌來訪問 API資源。訪問令牌包含了客戶端和用戶（若是有的話，這取決於業務是否須要，但一般沒必要要）的相關信息，API經過這些令牌信息來授予客戶端的數據訪問權限。

OAuth2提供了Access Token來解決受權第三方客戶端訪問受保護資源的問題；

2.7 刷新令牌（Refresh Token）

Access Token 是客戶端訪問資源服務器的令牌。擁有這個令牌表明着獲得用戶的受權。然而，這個受權應該是臨時的，有必定有效期。這是由於，Access Token 在使用的過程當中可能會泄露。給 Access Token 限定一個較短的有效期能夠下降因 Access Token 泄露而帶來的風險。

然而引入了有效期以後，客戶端使用起來就不那麼方便了。每當 Access Token 過時，客戶端就必須從新向用戶索要受權。這樣用戶可能每隔幾天，甚至天天都須要進行受權操做。這是一件很是影響用戶體驗的事情。但願有一種方法，能夠避免這種狀況。

因而 Oauth2.0 引入了 Refresh Token 機制。Refresh Token 的做用是用來刷新 Access Token。鑑權服務器提供一個刷新接口，例如：

http://xxx.xxx.com/refresh?refreshtoken=&client_id=

傳入 refresh token 和 client_id，鑑權服務器驗證經過後，返回一個新的 access token。爲了安全，Oauth2.0 引入了兩個措施：

1，Oauth2.0 要求，refresh token 必定是保存在客戶端的服務器上的，而毫不能存放在狹義的客戶端（例如移動 app、PC端軟件）上。調用 refresh 接口的時候，必定是從服務器到服務器的訪問；

2，Oauth2.0 引入了 client_secret 機制。即每個 client_id 都對應一個 client_secret。這個 client_secret 會在客戶端申請 client_id 時，隨 client_id 一塊兒分配給客戶端。客戶端必須把 client_secret 妥善保管在服務器上，決不能泄露。刷新 access token 時，須要驗證這個 client_secret。

因而，實際上的刷新接口應該是相似這樣的：

http://xxx.xxx.com/refresh?refreshtoken=&client_id=&client_secret=

以上就是 Refresh Token 機制。 Refresh Token 的有效期很是長，會在用戶受權時，隨 Access Token 一塊兒重定向到回調 url，傳遞給客戶端。