asp.net core系列 53 IdentityServer4 (IS4)介紹

一.概述

  在物理層之間相互通訊必須保護資源,須要實現身份驗證和受權,一般針對同一個用戶存儲。對於資源安全設計包括二個部分,一個是認證,一個是API訪問。html

 

  1 認證git

    認證是指:應用程序須要知道當前用戶的身份時,須要進行身份驗證,肯定用戶是否有效。最多見的身份驗證協議是SAML2p,WS-Federation、OpenID Connect。SAML2p是最受歡迎和最普遍部署的。OpenID Connect是三者中的最新產品,被認爲有最大潛力。。github

 

  2 API訪問web

    對API訪問是:用戶對資源的訪問,以api的形式來訪問資源,涉及到資源受權。windows

 

  3 OAuth2 介紹api

    OAuth2是一種協議,全稱(Open Authorization),是爲用戶資源的受權提供了一個安全的、開放而又簡易的標準。互聯網不少服務如Open API都提供了OAUTH認證服務。爲桌面程序、手機端或web應用提供了一種簡單的,標準的方式去訪問須要用戶受權的API服務。OAuth2協議特定:瀏覽器

              (1)簡單:無論是OAUTH服務提供者仍是應用開發者,都很易於理解與使用。安全

              (2)安全:沒有涉及到用戶密鑰等信息,更安全更靈活。服務器

              (3)開放:任何服務提供商均可以實現OAUTH,任何軟件開發商均可以使用OAUTH。架構

 

  4 OIDC介紹

    OIDC是指OpenID Connect,是基於OAuth 2.0規範的可互操做的身份驗證協議。是用 API 進行身份交互的框架。它使用簡單的REST / JSON消息流來實現。OIDC實現了用戶驗證跨越物理層,無需管理密碼文件(密鑰)。

    OpenID是Authentication,即認證。對用戶的身份進行認證,判斷其身份是否有效。

    OAuth是Authorization,即受權。 對用戶容許訪問哪些資源的受權。 受權要在認證以後進行,只有肯定用戶身份才能受權。

    OpenID Connect是「認證」和「受權」的結合。是對OAuth 2.0之上的擴展。這樣對於兩個基本的安全問題,即身份驗證和API訪問,被合併爲一個協議,一般只需一次往返安全令牌服務。

 

  5 IdentityServer4 介紹

    IdentityServer4 是適用於ASP.NET Core,集成了OpenID Connect和OAuth 2.0的框架。在現實開發中,項目涉及到多種物理層架構,它們是多進程的方式部署到不一樣的服務器上。好比Web、移動、桌面、服務等物理層架構。也有多是第三方的程序。 這些物理層之間的通訊須要涉及到受權和身份認證。最多見的互動包括:

    (1) 瀏覽器與Web應用程序通訊。

    (2) Web應用程序與Web API進行通訊(可能都是本身的,也有多是第三方提供)。

    (3) 服務器的應用程序與Web API通訊(好比windows服務與Web API)。

    (4) Web API與Web API進行通訊(可能都是本身的,也有多是第三方提供)。

 

    在沒有使用安全令牌服務時,多物理層之間通訊,看起來像下面這樣:

    加了IdentityServer4重構應用程序後,使用了安全令牌服務,產生的體系結構和協議以下所示:

 

   6 IdentityServer功能包括:

    (1)保護你的資源(資源能夠理解包括權限,好比是否有增、刪、改、查的權限)

    (2)使用本地賬戶存儲或外部身份提供程序對用戶進行身份驗證

    (3)提供會話管理和單點登陸

    (4)管理和驗證客戶端

    (5)向客戶發放身份和訪問令牌

    (5)驗證令牌

  

  7 名詞術語

    用戶是指:經過註冊成功後, 登陸來訪問資源的人。好比:會員,系統管理員等。

    客戶端是指:向IdentityServer請求令牌的程序,用於驗證用戶(請求身份令牌)或訪問資源(請求訪問令牌)。如Web應用程序,本機移動或桌面應用程序,SPA,服務器進程等。

    資源:使用IdentityServer保護資源,好比用戶的身份數據或API。身份數據是關於用戶的信息也稱Claim聲明, 例如姓名或電子郵件地址。API表示客戶端要調用的功能如Web API。

    身份令牌:是指身份驗證過程,確實用戶是否有效。即Authentication認證。

    訪問令牌:是指容許訪問API資源。即Authorization受權。

 

  8 nuget包安裝

    安裝版本網址:https://www.nuget.org/packages/IdentityServer4/3.0.0-preview3.4

    安裝:Install-Package IdentityServer4

 

  9 關於IdentityServer4的一些開源示例

    https://identityserver4.readthedocs.io/en/latest/intro/packaging.html

     下面是關於IdentityServer的源碼和示例,其中IdentityServer4.Samples中有大量示例,學習從這裏開始。

    https://github.com/IdentityServer/

 

  10  學習IdentityServer步驟

    (1) 將IdentityServer添加到ASP.NET Core應用程序

    (2) 配置IdentityServer

    (3) 爲各類客戶發放令牌

    (4) 保護Web應用程序和API

    (5) 添加對基於EntityFramework的配置的支持

    (6) 添加對ASP.NET身份的支持

    (7) 添加AdminUI社區版以管理用戶和配置

  

  參考文獻

     IdentityServer4官方文檔介紹 

相關文章
相關標籤/搜索