IdentityServer4系列 | 資源密碼憑證模式
1、前言
從上一篇關於客戶端憑證模式中,咱們經過建立一個認證受權訪問服務,定義一個API和要訪問它的客戶端,客戶端經過IdentityServer上請求訪問令牌,並使用它來控制訪問API。其中,咱們也注意到了在4.x版本中於以前3.x版本之間存在的差別。javascript
因此在這一篇中,咱們將經過多種受權模式中的資源全部者密碼憑證受權模式進行說明,主要針對介紹IdentityServer保護API的資源,資源密碼憑證受權訪問API資源。html
2、初識
若是你高度信任某個應用Client,也容許用戶把用戶名和密碼,直接告訴該應用Client。該應用Client就使用你的密碼,申請令牌,這種方式稱爲"密碼式"(password)。java
這種模式適用於鑑權服務器與資源服務器是高度相互信任的,例如兩個服務都是同個團隊或者同一公司開發的。git
2.1 適用範圍
資源全部者密碼憑證受權模式,適用於當資源全部者與客戶端具備良好信任關係的場景,好比客戶端是設備的操做系統或具有高權限的應用。受權服務器在開放此種受權模式時必須格外當心,而且只有在別的模式不可用時才容許這種模式。github
這種模式下,應用client可能存了用戶密碼這不安全性問題,因此才須要高可信的應用。數據庫
主要適用於用來作遺留項目升級爲oauth2的適配受權使用,固然若是client是自家的應用,也是能夠的,同時支持refresh token。c#
例如,A站點 須要添加了 OAuth 2.0 做爲對其現有基礎架構的一個受權機制。對於現有的客戶端轉變爲這種受權方案,資源全部者密碼憑據受權將是最方便的,由於他們只需使用現有的賬戶詳細信息(好比用戶名和密碼)來獲取訪問令牌。api
2.2 密碼受權流程:
+----------+
| Resource |
| Owner |
| |
+----------+
v
| Resource Owner
(A) Password Credentials
|
v
+---------+ +---------------+
| |>--(B)---- Resource Owner ------->| |
| | Password Credentials | Authorization |
| Client | | Server |
| |<--(C)---- Access Token ---------<| |
| | (w/ Optional Refresh Token) | |
+---------+ +---------------+
資源全部者密碼憑證受權流程描述安全
(A)資源全部者向客戶端提供其用戶名和密碼。服務器
(B)客戶端從受權中請求訪問令牌服務器的令牌端點,以獲取訪問令牌。當發起該請求時,受權服務器須要認證客戶端的身份。
(C) 受權服務器驗證客戶端身份,同時也驗證資源全部者的憑據,若是都經過,則簽發訪問令牌。
2.2.1 過程詳解
訪問令牌請求
| 參數 | 是否必須 | 含義 |
|---|---|---|
| grant_type | 必需 | 受權類型,值固定爲「password」。 |
| username | 必需 | 用戶名 |
| password | 必需 | 密碼 |
| scope | 可選 | 表示受權範圍。 |
同時將容許其餘請求參數client_id和client_secret,或在HTTP Basic auth標頭中接受客戶端ID和密鑰。
驗證用戶名密碼
示例:
客戶端身份驗證兩種方式
一、Authorization: Bearer base64(resourcesServer:123)
二、client_id(客戶端標識),client_secret(客戶端祕鑰),username(用戶名),password(密碼)。
(用戶的操做:輸入帳號和密碼)
A 網站要求用戶提供 B 網站的用戶名和密碼。拿到之後,A 就直接向 B 請求令牌。
POST /oauth/token HTTP/1.1 Host: authorization-server.com grant_type=password &username=user@example.com &password=1234luggage &client_id=xxxxxxxxxx &client_secret=xxxxxxxxxx
上面URL中,grant_type參數是受權方式,這裏的password是「密碼式」,username和password是B的用戶名和密碼。
2.2.2 訪問令牌響應
第二步,B 網站驗證身份經過後,直接給出令牌。注意,這時不須要跳轉,而是把令牌放在 JSON 數據裏面,做爲 HTTP 迴應,A 所以拿到令牌。
響應給用戶令牌信息(access_token),以下所示
{
"access_token": "訪問令牌",
"token_type": "Bearer",
"expires_in": 4200,
"scope": "server",
"refresh_token": "刷新令牌"
}
用戶使用這個令牌訪問資源服務器,當令牌失效時使用刷新令牌去換取新的令牌。
這種方式須要用戶給出本身的用戶名/密碼,顯然風險很大,所以只適用於其餘受權方式都沒法採用的狀況,並且必須是用戶高度信任的應用。
3、實踐
在示例實踐中,咱們將建立一個受權訪問服務,定義一個API和要訪問它的客戶端,客戶端經過IdentityServer上請求訪問令牌,並使用它來訪問API。
3.1 搭建 Authorization Server 服務
搭建認證受權服務
3.1.1 安裝Nuget包
IdentityServer4程序包
3.1.2 配置內容
創建配置內容文件Config.cs
public static class Config
{
public static IEnumerable<IdentityResource> IdentityResources =>
new IdentityResource[]
{
new IdentityResources.OpenId(),
new IdentityResources.Profile(),
};
public static IEnumerable<ApiScope> ApiScopes =>
new ApiScope[]
{
new ApiScope("password_scope1")
};
public static IEnumerable<ApiResource> ApiResources =>
new ApiResource[]
{
new ApiResource("api1","api1")
{
Scopes={ "password_scope1" },
ApiSecrets={new Secret("apipwd".Sha256())} //api密鑰
}
};
public static IEnumerable<Client> Clients =>
new Client[]
{
new Client
{
ClientId = "password_client",
ClientName = "Resource Owner Password",
AllowedGrantTypes = GrantTypes.ResourceOwnerPassword,
ClientSecrets = { new Secret("511536EF-F270-4058-80CA-1C89C192F69A".Sha256()) },
AllowedScopes = { "password_scope1" }
},
};
}
由於是資源全部者密碼憑證受權的方式,因此咱們經過代碼的方式來建立幾個測試用戶。
新建測試用戶文件TestUsers.cs
public class TestUsers
{
public static List<TestUser> Users
{
get
{
var address = new
{
street_address = "One Hacker Way",
locality = "Heidelberg",
postal_code = 69118,
country = "Germany"
};
return new List<TestUser>
{
new TestUser
{
SubjectId = "1",
Username = "i3yuan",
Password = "123456",
Claims =
{
new Claim(JwtClaimTypes.Name, "i3yuan Smith"),
new Claim(JwtClaimTypes.GivenName, "i3yuan"),
new Claim(JwtClaimTypes.FamilyName, "Smith"),
new Claim(JwtClaimTypes.Email, "i3yuan@email.com"),
new Claim(JwtClaimTypes.EmailVerified, "true", ClaimValueTypes.Boolean),
new Claim(JwtClaimTypes.WebSite, "http://i3yuan.top"),
new Claim(JwtClaimTypes.Address, JsonSerializer.Serialize(address), IdentityServerConstants.ClaimValueTypes.Json)
}
}
};
}
}
}
返回一個TestUser的集合。
經過以上添加好配置和測試用戶後,咱們須要將用戶註冊到IdentityServer4服務中,接下來繼續介紹。
3.1.3 註冊服務
在startup.cs中ConfigureServices方法添加以下代碼:
public void ConfigureServices(IServiceCollection services)
{
var builder = services.AddIdentityServer()
.AddTestUsers(TestUsers.Users); //添加測試用戶
// in-memory, code config
builder.AddInMemoryIdentityResources(Config.IdentityResources);
builder.AddInMemoryApiScopes(Config.ApiScopes);
builder.AddInMemoryApiResources(Config.ApiResources);
builder.AddInMemoryClients(Config.Clients);
// not recommended for production - you need to store your key material somewhere secure
builder.AddDeveloperSigningCredential();
}
3.1.4 配置管道
在startup.cs中Configure方法添加以下代碼:
public void Configure(IApplicationBuilder app, IWebHostEnvironment env)
{
if (env.IsDevelopment())
{
app.UseDeveloperExceptionPage();
}
app.UseRouting();
app.UseIdentityServer();
app.UseEndpoints(endpoints =>
{
endpoints.MapGet("/", async context =>
{
await context.Response.WriteAsync("Hello World!");
});
});
}
以上內容是快速搭建簡易IdentityServer項目服務的方式。
這搭建 Authorization Server 服務跟上一篇客戶端憑證模式有何不一樣之處呢?
- 在Config中配置客戶端(client)中定義了一個
AllowedGrantTypes的屬性,這個屬性決定了Client能夠被哪一種模式被訪問,GrantTypes.ClientCredentials爲客戶端憑證模式,GrantTypes.ResourceOwnerPassword爲資源全部者密碼憑證受權。因此在本文中咱們須要添加一個Client用於支持資源全部者密碼憑證模式(ResourceOwnerPassword)。- 由於資源全部者密碼憑證模式須要用到用戶名和密碼因此要添加用戶,而客戶端憑證模式不須要,這也是二者的不一樣之處。
3.2 搭建API資源
實現對API資源進行保護
3.2.1 快速搭建一個API項目
3.2.2 安裝Nuget包
IdentityServer4.AccessTokenValidation 包
3.2.3 註冊服務
在startup.cs中ConfigureServices方法添加以下代碼:
public void ConfigureServices(IServiceCollection services)
{
services.AddControllersWithViews();
services.AddAuthorization();
services.AddAuthentication("Bearer")
.AddIdentityServerAuthentication(options =>
{
options.Authority = "http://localhost:5001";
options.RequireHttpsMetadata = false;
options.ApiName = "api1";
options.ApiSecret = "apipwd"; //對應ApiResources中的密鑰
});
}
AddAuthentication把Bearer配置成默認模式,將身份認證服務添加到DI中。
AddIdentityServerAuthentication把IdentityServer的access token添加到DI中,供身份認證服務使用。
3.2.4 配置管道
在startup.cs中Configure方法添加以下代碼:
public void Configure(IApplicationBuilder app, IWebHostEnvironment env)
{
if (env.IsDevelopment())
{
app.UseDeveloperExceptionPage();
}
app.UseRouting();
app.UseAuthentication();
app.UseAuthorization();
app.UseEndpoints(endpoints =>
{
endpoints.MapDefaultControllerRoute();
});
}
UseAuthentication將身份驗證中間件添加到管道中;
UseAuthorization 將啓動受權中間件添加到管道中,以便在每次調用主機時執行身份驗證受權功能。
3.2.5 添加API資源接口
[Route("api/[Controller]")]
[ApiController]
public class IdentityController:ControllerBase
{
[HttpGet("getUserClaims")]
[Authorize]
public IActionResult GetUserClaims()
{
return new JsonResult(from c in User.Claims select new { c.Type, c.Value });
}
}
在IdentityController 控制器中添加 [Authorize] , 在進行請求資源的時候,需進行認證受權經過後,才能進行訪問。
這搭建API資源跟上一篇客戶端憑證模式有何不一樣之處呢?
咱們能夠發現這跟上一篇基本類似,可是可能須要注意的地方應該是
ApiName和ApiSecret,要跟你配置的API資源名稱和API資源密鑰相同。
3.3 搭建Client客戶端
實現對API資源的訪問和獲取資源
3.3.1 搭建一個窗體程序
3.3.2 安裝Nuget包
IdentityModel 包
3.3.3 獲取令牌
客戶端與受權服務器進行身份驗證並向令牌端點請求訪問令牌。受權服務器對客戶端進行身份驗證,若是有效,頒發訪問令牌。
IdentityModel 包括用於發現 IdentityServer 各個終結點(EndPoint)的客戶端庫。
咱們可使用從 IdentityServer 元數據獲取到的Token終結點請求令牌:
private void getToken_Click(object sender, EventArgs e)
{
var client = new HttpClient();
var disco = client.GetDiscoveryDocumentAsync(this.txtIdentityServer.Text).Result;
if (disco.IsError)
{
this.tokenList.Text = disco.Error;
return;
}
//請求token
tokenResponse = client.RequestPasswordTokenAsync(new PasswordTokenRequest
{
Address = disco.TokenEndpoint,
ClientId =this.txtClientId.Text,
ClientSecret = this.txtClientSecret.Text,
Scope = this.txtApiScopes.Text,
UserName=this.txtUserName.Text,
Password=this.txtPassword.Text
}).Result;
if (tokenResponse.IsError)
{
this.tokenList.Text = disco.Error;
return;
}
this.tokenList.Text = JsonConvert.SerializeObject(tokenResponse.Json);
this.txtToken.Text = tokenResponse.AccessToken;
}
3.3.4 調用API
要將Token發送到API,一般使用HTTP Authorization標頭。 這是使用
SetBearerToken擴展方法完成。
private void getApi_Click(object sender, EventArgs e)
{
//調用認證api
if (string.IsNullOrEmpty(txtToken.Text))
{
MessageBox.Show("token值不能爲空");
return;
}
var apiClient = new HttpClient();
//apiClient.SetBearerToken(tokenResponse.AccessToken);
apiClient.SetBearerToken(this.txtToken.Text);
var response = apiClient.GetAsync(this.txtApi.Text).Result;
if (!response.IsSuccessStatusCode)
{
this.resourceList.Text = response.StatusCode.ToString();
}
else
{
this.resourceList.Text = response.Content.ReadAsStringAsync().Result;
}
}
這搭建Client客戶端跟上一篇客戶端憑證模式有何不一樣之處呢?
- 客戶端請求token多了兩個參數,一個用戶名,一個密碼
- 請求Token中使用
IdentityModel包的方法RequestPasswordTokenAsync,實現用戶密碼方式獲取令牌。
以上展現的代碼有不明白的,能夠看本篇項目源碼,項目地址爲 :資源全部者密碼憑證模式
3.4 效果
3.4.1 項目測試
3.4.2 postman測試
4、拓展
從上一篇的客戶端憑證模式到這一篇的資源全部者資源密碼憑證模式,咱們都已經初步掌握了大體的受權流程,以及項目搭建獲取訪問受保護的資源,可是咱們也可能發現了,若是是僅僅爲了訪問保護的API資源的話,加不加用戶和密碼好像也沒什麼區別呢。
可是若是仔細對比兩種模式在獲取token,以及訪問api返回的數據能夠發現,資源全部者密碼憑證模式返回的Claim的數量信息要多一些,可是客戶端模式返回的明顯少了一些,這是由於客戶端不涉及用戶信息。因此資源密碼憑證模式
能夠根據用戶信息作具體的資源權限判斷。
好比,在TestUser有一個Claims屬性,容許自已添加Claim,有一個ClaimTypes枚舉列出了能夠直接添加的Claim。因此咱們能夠爲用戶設置角色,來判斷角色的權限功能,作簡單的權限管理。
4.1 添加用戶角色
在以前建立的TestUsers.cs文件的User方法中,添加Cliam的角色熟悉,以下:
public class TestUsers
{
public static List<TestUser> Users
{
get
{
var address = new
{
street_address = "One Hacker Way",
locality = "Heidelberg",
postal_code = 69118,
country = "Germany"
};
return new List<TestUser>
{
new TestUser
{
SubjectId = "1",
Username = "i3yuan",
Password = "123456",
Claims =
{
new Claim(JwtClaimTypes.Name, "i3yuan Smith"),
new Claim(JwtClaimTypes.GivenName, "i3yuan"),
new Claim(JwtClaimTypes.FamilyName, "Smith"),
new Claim(JwtClaimTypes.Email, "i3yuan@email.com"),
new Claim(JwtClaimTypes.EmailVerified, "true", ClaimValueTypes.Boolean),
new Claim(JwtClaimTypes.WebSite, "http://i3yuan.top"),
new Claim(JwtClaimTypes.Address, JsonSerializer.Serialize(address), IdentityServerConstants.ClaimValueTypes.Json),
new Claim(JwtClaimTypes.Role,"admin") //添加角色
},
}
};
}
}
}
4.2 配置API資源須要的Cliam
由於要用到ApiResources,ApiResources的構造函數有一個重載支持傳進一個Claim集合,用於容許該Api資源能夠攜帶那些Claim, 因此在項目下的Config類的ApiResources作出以下修改:
public static IEnumerable<ApiResource> ApiResources =>
new ApiResource[]
{
new ApiResource("api1","api1")
{
Scopes={ "password_scope1" },
UserClaims={JwtClaimTypes.Role}, //添加Cliam 角色類型
ApiSecrets={new Secret("apipwd".Sha256())}
}
};
4.3 添加支持Role驗證
在API資源項目中,修改下被保護Api的,使其支持Role驗證。
[HttpGet("getUserClaims")]
//[Authorize]
[Authorize(Roles ="admin")]
public IActionResult GetUserClaims()
{
return new JsonResult(from c in User.Claims select new { c.Type, c.Value });
}
4.4 效果
能夠看到,爲咱們添加了一個Role Claim,效果以下:
5、總結
- 本篇主要闡述以資源全部者密碼憑證受權,編寫一個客戶端,以及受保護的資源,並經過客戶端請求IdentityServer上請求獲取訪問令牌,從而獲取受保護的資源。
- 這種模式主要使用client_id和client_secret以及用戶名密碼經過應用Client(客戶端)直接獲取祕鑰,可是存在client可能存了用戶密碼這不安全性問題,若是client是自家高可信的應用,也是可使用的,同時若是遺留項目升級爲oauth2的受權機制也是適配適用的。
- 在後續會對其中的其餘受權模式,數據庫持久化問題,以及如何應用在API資源服務器中和配置在客戶端中,會進一步說明。
- 若是有不對的或不理解的地方,但願你們能夠多多指正,提出問題,一塊兒討論,不斷學習,共同進步。
- 項目地址
6、附加
- 1. IdentityServer4系列 | 客戶端憑證模式
- 2. IdentityServer4 密碼模式實現
- 3. IdentityServer4系列 | 受權碼模式
- 4. IdentityServer4(8)- 使用密碼認證方式控制API訪問(資源全部者密碼受權模式)
- 5. IdentityServer4(8)- 使用密碼認證方式控制API訪問(資源全部者密碼受權模式)...
- 6. IdentityServer4系列 | 混合模式
- 7. IdentityServer4系列 | 簡化模式
- 8. IdentityServer4 實現OAuth2.0四種模式之密碼模式
- 9. OAuth2.0系列三:OAuth2.0密碼模式
- 10. IdentityServer4系列 | 初識基礎知識點
- 更多相關文章...
- • Docker 資源彙總 - Docker教程
- • Eclipse 代碼模板 - Eclipse 教程
- • 委託模式
- • IntelliJ IDEA代碼格式化設置
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. Duang!超快Wi-Fi來襲
- 2. 機器學習-補充03 神經網絡之**函數(Activation Function)
- 3. git上開源maven項目部署 多module maven項目(多module maven+redis+tomcat+mysql)後臺部署流程學習記錄
- 4. ecliple-tomcat部署maven項目方式之一
- 5. eclipse新導入的項目經常可以看到「XX cannot be resolved to a type」的報錯信息
- 6. Spark RDD的依賴於DAG的工作原理
- 7. VMware安裝CentOS-8教程詳解
- 8. YDOOK:Java 項目 Spring 項目導入基本四大 jar 包 導入依賴,怎樣在 IDEA 的項目結構中導入 jar 包 導入依賴
- 9. 簡單方法使得putty(windows10上)可以免密登錄樹莓派
- 10. idea怎麼用本地maven
- 1. IdentityServer4系列 | 客戶端憑證模式
- 2. IdentityServer4 密碼模式實現
- 3. IdentityServer4系列 | 受權碼模式
- 4. IdentityServer4(8)- 使用密碼認證方式控制API訪問(資源全部者密碼受權模式)
- 5. IdentityServer4(8)- 使用密碼認證方式控制API訪問(資源全部者密碼受權模式)...
- 6. IdentityServer4系列 | 混合模式
- 7. IdentityServer4系列 | 簡化模式
- 8. IdentityServer4 實現OAuth2.0四種模式之密碼模式
- 9. OAuth2.0系列三:OAuth2.0密碼模式
- 10. IdentityServer4系列 | 初識基礎知識點