asp.net core系列 53 IdentityServer4 (IS4)介紹

時間 2019-11-18

標籤 asp.net asp core 系列 identityserver4 identityserver is4 介紹欄目 ASP 简体版

原文原文鏈接

一.概述

　　在物理層之間相互通訊必須保護資源，須要實現身份驗證和受權，一般針對同一個用戶存儲。對於資源安全設計包括二個部分，一個是認證，一個是API訪問。html

　　1 認證git

　　　　認證是指：應用程序須要知道當前用戶的身份時，須要進行身份驗證，肯定用戶是否有效。最多見的身份驗證協議是SAML2p，WS-Federation、OpenID Connect。SAML2p是最受歡迎和最普遍部署的。OpenID Connect是三者中的最新產品,被認爲有最大潛力。。github

　　2 API訪問web

　　　　對API訪問是：用戶對資源的訪問，以api的形式來訪問資源，涉及到資源受權。windows

　　3 OAuth2 介紹api

　　　　OAuth2是一種協議，全稱(Open Authorization)，是爲用戶資源的受權提供了一個安全的、開放而又簡易的標準。互聯網不少服務如Open API都提供了OAUTH認證服務。爲桌面程序、手機端或web應用提供了一種簡單的，標準的方式去訪問須要用戶受權的API服務。OAuth2協議特定：瀏覽器

(1)簡單：無論是OAUTH服務提供者仍是應用開發者，都很易於理解與使用。安全

(2)安全：沒有涉及到用戶密鑰等信息，更安全更靈活。服務器

(3)開放：任何服務提供商均可以實現OAUTH，任何軟件開發商均可以使用OAUTH。架構

　　4 OIDC介紹

　　　　OIDC是指OpenID Connect，是基於OAuth 2.0規範的可互操做的身份驗證協議。是用 API 進行身份交互的框架。它使用簡單的REST / JSON消息流來實現。OIDC實現了用戶驗證跨越物理層，無需管理密碼文件(密鑰)。

　　　　OpenID是Authentication，即認證。對用戶的身份進行認證，判斷其身份是否有效。

　　　　OAuth是Authorization，即受權。對用戶容許訪問哪些資源的受權。受權要在認證以後進行，只有肯定用戶身份才能受權。

　　　　OpenID Connect是「認證」和「受權」的結合。是對OAuth 2.0之上的擴展。這樣對於兩個基本的安全問題，即身份驗證和API訪問，被合併爲一個協議，一般只需一次往返安全令牌服務。

　　5 IdentityServer4 介紹

　　　　IdentityServer4 是適用於ASP.NET Core，集成了OpenID Connect和OAuth 2.0的框架。在現實開發中，項目涉及到多種物理層架構，它們是多進程的方式部署到不一樣的服務器上。好比Web、移動、桌面、服務等物理層架構。也有多是第三方的程序。這些物理層之間的通訊須要涉及到受權和身份認證。最多見的互動包括：

　　　　(1) 瀏覽器與Web應用程序通訊。

　　　　(2) Web應用程序與Web API進行通訊（可能都是本身的，也有多是第三方提供）。

　　　　(3) 服務器的應用程序與Web API通訊(好比windows服務與Web API)。

　　　　(4) Web API與Web API進行通訊（可能都是本身的，也有多是第三方提供）。

　　　　在沒有使用安全令牌服務時，多物理層之間通訊，看起來像下面這樣：