asp.net core系列 53 IdentityServer4 (IS4)介紹

一.概述

　　在物理層之間相互通訊必須保護資源，須要實現身份驗證和受權，一般針對同一個用戶存儲。對於資源安全設計包括二個部分，一個是認證，一個是API訪問。

　

　　1 認證

　　　　認證是指：應用程序須要知道當前用戶的身份時，須要進行身份驗證，肯定用戶是否有效。最多見的身份驗證協議是SAML2p，WS-Federation、OpenID Connect。SAML2p是最受歡迎和最普遍部署的。OpenID Connect是三者中的最新產品,被認爲有最大潛力。。

 

　　2 API訪問

　　　　對API訪問是：用戶對資源的訪問，以api的形式來訪問資源，涉及到資源受權。

 

　　3 OAuth2 介紹

　　　　OAuth2是一種協議，全稱(Open Authorization)，是爲用戶資源的受權提供了一個安全的、開放而又簡易的標準。互聯網不少服務如Open API都提供了OAUTH認證服務。爲桌面程序、手機端或web應用提供了一種簡單的，標準的方式去訪問須要用戶受權的API服務。OAuth2協議特定：

              (1)簡單：無論是OAUTH服務提供者仍是應用開發者，都很易於理解與使用。

              (2)安全：沒有涉及到用戶密鑰等信息，更安全更靈活。

              (3)開放：任何服務提供商均可以實現OAUTH，任何軟件開發商均可以使用OAUTH。

 

　　4 OIDC介紹

　　　　OIDC是指OpenID Connect，是基於OAuth 2.0規範的可互操做的身份驗證協議。是用 API 進行身份交互的框架。它使用簡單的REST / JSON消息流來實現。OIDC實現了用戶驗證跨越物理層，無需管理密碼文件(密鑰)。

　　　　OpenID是Authentication，即認證。對用戶的身份進行認證，判斷其身份是否有效。

　　　　OAuth是Authorization，即受權。 對用戶容許訪問哪些資源的受權。 受權要在認證以後進行，只有肯定用戶身份才能受權。

　　　　OpenID Connect是「認證」和「受權」的結合。是對OAuth 2.0之上的擴展。這樣對於兩個基本的安全問題，即身份驗證和API訪問，被合併爲一個協議，一般只需一次往返安全令牌服務。

 

　　5 IdentityServer4 介紹

　　　　IdentityServer4 是適用於ASP.NET Core，集成了OpenID Connect和OAuth 2.0的框架。在現實開發中，項目涉及到多種物理層架構，它們是多進程的方式部署到不一樣的服務器上。好比Web、移動、桌面、服務等物理層架構。也有多是第三方的程序。 這些物理層之間的通訊須要涉及到受權和身份認證。最多見的互動包括：

　　　　(1) 瀏覽器與Web應用程序通訊。

　　　　(2) Web應用程序與Web API進行通訊（可能都是本身的，也有多是第三方提供）。

　　　　(3) 服務器的應用程序與Web API通訊(好比windows服務與Web API)。

　　　　(4) Web API與Web API進行通訊（可能都是本身的，也有多是第三方提供）。

 

　　　　在沒有使用安全令牌服務時，多物理層之間通訊，看起來像下面這樣：

　　　　加了IdentityServer4重構應用程序後，使用了安全令牌服務，產生的體系結構和協議以下所示：

 

　　 6 IdentityServer功能包括：

　　　　(1)保護你的資源(資源能夠理解包括權限，好比是否有增、刪、改、查的權限)

　　　　(2)使用本地賬戶存儲或外部身份提供程序對用戶進行身份驗證

　　　　(3)提供會話管理和單點登陸

　　　　(4)管理和驗證客戶端

　　　　(5)向客戶發放身份和訪問令牌

　　　　(5)驗證令牌

　　

　　7 名詞術語

　　　　用戶是指：經過註冊成功後， 登陸來訪問資源的人。好比：會員，系統管理員等。

　　　　客戶端是指：向IdentityServer請求令牌的程序，用於驗證用戶（請求身份令牌）或訪問資源（請求訪問令牌）。如Web應用程序，本機移動或桌面應用程序，SPA，服務器進程等。

　　　　資源：使用IdentityServer保護資源，好比用戶的身份數據或API。身份數據是關於用戶的信息也稱Claim聲明, 例如姓名或電子郵件地址。API表示客戶端要調用的功能如Web API。

　　　　身份令牌：是指身份驗證過程，確實用戶是否有效。即Authentication認證。

　　　　訪問令牌：是指容許訪問API資源。即Authorization受權。

 

　　8 nuget包安裝

　　　　安裝版本網址：https://www.nuget.org/packages/IdentityServer4/3.0.0-preview3.4

　　　　安裝：Install-Package IdentityServer4

 

　　9 關於IdentityServer4的一些開源示例

　　　　https://identityserver4.readthedocs.io/en/latest/intro/packaging.html

 　　　　下面是關於IdentityServer的源碼和示例，其中IdentityServer4.Samples中有大量示例，學習從這裏開始。

　　　　https://github.com/IdentityServer/

 

　　10  學習IdentityServer步驟

　　　　(1) 將IdentityServer添加到ASP.NET Core應用程序

　　　　(2) 配置IdentityServer

　　　　(3) 爲各類客戶發放令牌

　　　　(4) 保護Web應用程序和API

　　　　(5) 添加對基於EntityFramework的配置的支持

　　　　(6) 添加對ASP.NET身份的支持

　　　　(7) 添加AdminUI社區版以管理用戶和配置

　　

　　參考文獻

　　　　　IdentityServer4官方文檔介紹