IdentityServer4系列 | 快速搭建简易项目

一 、前言

从上一篇关于 常见术语说明中,主要是对「IdentityServer4」的说明,以及其中涉及常见的术语的表述说明,包括对身份认证服务器、用户、客户端、资源以及各个令牌等进行对比区别说明。

而在这一篇中,我们将尝试通过简单的方式来搭一个我们的IdentityServer授权服务器,熟悉IdentityServer4中搭建的流程以及将出现的问题。

二、 搭建

以下的项目示例都是基于IdentityServer4 「4.x」版本以上进行说明。

4.x版本较之前3.x的版本都有一些变更,在本例中,若发现与3.x版本有变更的一些地方,都会进行记录说明。

2.1.创建项目

建立一个空的Asp.Net Core项目 ,使用Empty空模板

2.2.安装配置

2.2.1. 安装程序包

  • 可通过命令行的方式

    NuGet>Install-Package IdentityServer4

  • 通过包管理器方式

    添加IdentityServer4包

2.2.2. 配置管道

「修改Configure方法,注入到容器」

 app.UseIdentityServer();

2.2.3. 配置内容

「将服务注入到容器后,还需要对IdentityServce进行配置内容」

  • 哪些API需要Authorization Server进行资源保护

  • 哪些Client可以使用这个Authorization Server

  • 哪些User可以被这个AuthorizationServer识别并授权

  • 哪些资源可以指定作用域

这里方便演示,直接以静态化的形式展示,实际开发应用中,可结合数据库或reidis缓存的数据持久化方式获取。

建立配置内容文件IdentityConfig.cs(具体的 OpenID Connect 配置信息来源文件)

    public class IdentityConfig{public static IEnumerable<IdentityResource> IdentityResources =>new IdentityResource[]{new IdentityResources.OpenId(),new IdentityResources.Profile(),};/// <summary>/// Authorization Server保护了哪些 API Scope(作用域)/// </summary>/// <returns></returns>public static IEnumerable<ApiScope> GetApiScopes(){return new[] { new ApiScope("ApiScope1", "ApiScope2") };}/// <summary>/// 哪些客户端 Client(应用) 可以使用这个 Authorization Server/// </summary>/// <returns></returns>public static IEnumerable<Client> GetClients(){return new[]{new Client(){ClientId="YuanIdentity", ///客户端的标识,要是惟一的ClientSecrets=new []{new Secret("6KGqzUx6nfZZp0a4NH2xenWSJQWAT8la".Sha256())}, 客户端密码,进行了加密AllowedGrantTypes= GrantTypes.ClientCredentials, 授权方式,这里采用的是客户端认证模式,只要ClientId,以及ClientSecrets正确即可访问对应的AllowedScopes里面的api资源AllowedScopes=new[]{"ApiScope1" }, //定义这个客户端可以访问的APi资源数组,上面只有一个api}};}/// <summary>/// 哪些User可以被这个AuthorizationServer识别并授权/// </summary>/// <returns></returns>public static IEnumerable<TestUser> GetTestUsers(){return new[]{new TestUser{SubjectId="001",Username="i3yuan",Password="123456"}};}}

「注意,如果你的代码没问题,但是依然报错,比如“无效的scope”等,就可能是nuget包版本问题」

在3.1.x 到 4.x 的变更中,ApiResourceScope 正式独立出来为 ApiScope 对象,区别ApiResourceScope的关系, Scope 是属于ApiResource 的一个属性,可以包含多个Scope

所以

在3.x版本中

 public static IEnumerable<ApiResource> GetApiResources(){return new[] { new ApiResource("ApiScope1", "ApiScope2") };}

改成4.x版本为

public static IEnumerable<ApiScope> GetApiScopes()
{return new[] { new ApiScope("ApiScope1", "ApiScope2") };
}

2.2.4. 添加配置服务

「在Startup.cs文件,ConfigureServices方法中」

        public void ConfigureServices(IServiceCollection services){services.AddMvc();services.AddIdentityServer().AddDeveloperSigningCredential().AddTestUsers(IdentityConfig.GetTestUsers().ToList()).AddInMemoryClients(IdentityConfig.GetClients()).AddInMemoryApiScopes(IdentityConfig.GetApiScopes());services.AddControllers();}

「1.  在学习 IdentityServer4 时熟悉的 InMemory 来说,AddInMemoryApiResources 变为了 AddInMemoryApiScopes  这个 ApiScope」

「2.  我们现在是本地调试,可以告诉identity server4在程序的运行时候对这项工作进行设定: AddDeveloperSigningCredential(),它默认会存到硬盘上的, 所以每次重启服务不会破坏开发时的数据同步。这个方法只适合用于identity server4在单个机器运行, 如果是 production 你得使用AddSigningCredential()这个方法」

以上操作完成后, 启动项目,通过它的 .well-known 端点来访问服务器的配置信息,在浏览器的地址栏中,输入地址:http://localhost:5050/.well-known/openid-configuration,并回车。应该可以看到如下的响应信息。

2.3. 获取token

2.3.1. 启动项目

2.3.2. 测试访问地址

http://localhost:5050/connect/token

body参数 application/x-www-form-urlencoded (post)

2.3.3. Access_Token

「需要对token进行签名, 这意味着 identity server 需要一对public和private key。同时也是可以由上图的解析发现是需要一对公私key的。」

三、UI界面

考虑IdentityServer4需要进行管理查看,添加页面管理界面

官方为我们提供了一个快速启动的UI界面,我们只需要下载下来即可,这里有两个方法:

3.1. QuickStart UI界面

1、直接从这个地址下来下载,拷贝到项目中,一共三个文件夹;// https://github.com/IdentityServer/IdentityServer4.Quickstart.UI2、在当前文件夹中执行命令,自动下载;iex ((New-Object System.Net.WebClient).DownloadString('https://raw.githubusercontent.com/IdentityServer/IdentityServer4.Quickstart.UI/master/getmaster.ps1'))

3.2. 默认目录

下载完官方提供的默认UI界面后,会提供默认的三个目录文件夹分别为:Quickstart (控制器方法)、Views(视图)、wwwroot (静态文件)

3.3. 修改配置

配置中间件来使用静态文件:

app.UseStaticFiles();

四、运行

运行展示效果,启动默认的地址如下:

http://localhost:5050

运行项目后,可以发现启动默认的欢迎界面,看到对应的项目版本,我们这里用的是最新的IdentityServer4版本为4.1.1 ,以及点击 「discovery document」,可以看到了我们上边说到的 token 获取的接口地址 ,其中对应的端点地址信息。

「通过它的 .well-known 端点来访问服务器的配置信息,在浏览器的地址栏中,输入地址:http://localhost:5050/.well-known/openid-configuration,并回车,可以看到对应的响应信息。」

五、模板

在上文中,我们通过手动搭建的方式,从一个空模板的搭建,到引用对应的Nuget包,安装修改配置,并搭配了官方提供的UI界面,初步形成了一个简易的IdentityServer4初始化项目框架,这种一步步的构建项目的方式。

官方也给我们提供了对应的快捷创建项目的模板,所以,如果你不想创建MVC项目,可以用官方提供的模板方式进行创建初始化项目。

5.1. 安装模板

dotnet new -i IdentityServer4.Templates

在命令的输出中,可以看到已经安装了多个关于 IdentityServer4 的模版

模板简称说明
IdentityServer4 with AdminUIis4admin这为用户、身份、客户端和资源提供了一个基于web的管理界面.该社区版本旨在测试IdentityServer集成场景,并且仅限于本地主机:5000、SQLite、10个用户和2个客户端。社区版不适合生产应用。
IdentityServer4 with ASP.NET Core Identityis4aspid添加使用ASP.NET标识进行用户管理的基本IdentityServer。如果您自动启动数据库,您将得到两个用户:Alice和bob--都带有密码Pass123$。检查SeedData.cs文件。
IdentityServer4 Emptyis4empty在没有UI的情况下创建一个最小的IdentityServer4项目。
IdentityServer4 with Entity Framework Storesis4ef添加使用实体框架进行配置和状态管理的基本IdghtyServer。如果您启动数据库,您将获得一些基本的客户端和资源注册,请检查SeedData.cs文件。
IdentityServer4 with In-Memory Stores and Test Usersis4inmem添加具有UI、测试用户和示例客户端和资源的基本IdentityServer。显示内存中的代码和JSON配置。
IdentityServer4 Quickstart UI (UI assets only)is4ui将快速启动UI添加到当前项目(例如,可以在is4empty的基础上添加)

5.2. 选择项目

这里面最为简单的项目模版就是 IdentityServer4 with In-Memory Stores and Test Users 了,它简称为 is4inmem ,我们下面就使用它来创建项目。

dotnet new 模板名 -n 项目名称

5.3. 启动应用

启动项目后,

可以看到项目的效果跟我们之前一步步搭建的效果是一样的,这说明我们已经创建了第一个可运行的 IdentityServer4 服务器了。

六、说明

6.1. HS256与RS256

JWT签名算法中,一般有两个选择,一个采用HS256,另外一个就是采用RS256。

「签名实际上是一个加密的过程,生成一段标识(也是JWT的一部分)作为接收方验证信息是否被篡改的依据。」

  1. 「HS256」 使用密钥生成「固定的签名」,简单地说,HS256 必须与任何想要验证 JWT的 客户端或 API 「共享密钥」,因此必须注意确保密钥不被泄露。

  2. 「RS256」 生成「非对称签名」,这意味着必须使用私钥来签签名 JWT,并且必须使用对应的公钥来验证签名。与对称算法不同,使用 RS256 可以保证服务端是 JWT 的签名者,因为服务端是唯一拥有私钥的一方。这样做将不再需要在许多应用程序之间共享私钥。

因此,在开发应用的时候启用JWT时候,使用RS256更加安全,你可以控制谁能使用什么类型的密钥。同时可以让服务端是唯一拥有私钥的一方,不需共享私钥。

6.2 关于证书

生产环境(负载集群)一般需要使用固定的证书签名与验签,以确保重启服务端或负载的时候 Token 都能验签通过。(不使用临时证书)

6.2.1 创建证书

#生成私钥文件
openssl genrsa -out idsrv4.key 2048
#创建证书签名请求文件 CSR(Certificate Signing Request),用于提交给证书颁发机构(即 Certification Authority (CA))即对证书签名,申请一个数字证书。
openssl req -new -key idsrv4.key -out idsrv4.csr
#生成自签名证书(证书颁发机构(CA)签名后的证书,因为自己做测试那么证书的申请机构和颁发机构都是自己,crt 证书包含持有人的信息,持有人的公钥,以及签署者的签名等信息。当用户安装了证书之后,便意味着信任了这份证书,同时拥有了其中的公钥。)
openssl x509 -req -days 365 -in idsrv4.csr -signkey idsrv4.key -out idsrv4.crt
#自签名证书与私匙合并成一个文件
openssl pkcs12 -export -in idsrv4.crt -inkey idsrv4.key -out idsrv4.pfx或
openssl req -newkey rsa:2048 -nodes -keyout idsrv4.key -x509 -days 365 -out idsrv4.cer
openssl pkcs12 -export -in idsrv4.cer -inkey idsrv4.key -out idsrv4.pfx

中途提示让你输入Export Password,这个password后面会用到。

6.2.2 项目配置

拷贝生成的证书,放到认证/授权服务器项目中。(VS中配置文件设置文件始终复制),最后把证书路径和密码配置到 IdentityServer 中,因为我们自签名的证书是 PKCS12 (个人数字证书标准,Public Key Cryptography Standards #12) 标准包含私钥与公钥)标准,包含了公钥和私钥。

A、在appsetting.json 配置文件中添加如下:此处需要配置password,即生成证书的时候输入的密码。

{"Certificates": {"CerPath": "certificate\\idsrv4.pfx","Password": "P@ssw0rd"}
} 

B、在starup.cs中ConfigureServices方法中配置如下即可。

var basePath = PlatformServices.Default.Application.ApplicationBasePath;
services.AddIdentityServer().AddSigningCredential(new X509Certificate2(
Path.Combine(basePath,Configuration["Certificates:CerPath"]),
Configuration["Certificates:Password"])
)

C、配置完后即可。我们启动IDS4项目即可生成加密的token。

6.2.3 提取补充

OpenSSL 提取 pfx 证书公钥与私钥

提取pfx证书公钥和私钥
从pfx证书中提取密钥信息,并转换为key格式(pfx使用pkcs12模式补足)
1. 提取密钥对(如果pfx证书已加密,会提示输入密码)
openssl pkcs12 -in idsrv4.pfx -nocerts -nodes -out idsrv4.key
2. 从密钥对提取公钥
openssl rsa -in idsrv4.key -pubout -out idsrv4_pub.key
3. 从密钥对提取私钥
openssl rsa -in  idsrv4.key -out idsrv4_pri.key
4. 因为RSA算法使用的是 pkcs8 模式补足,需要对提取的私钥进一步处理得到最终私钥
openssl pkcs8 -topk8 -inform PEM -in idsrv4_pri.key -outform PEM -nocrypt

「注意:」

将得到的token在jwt.io 网站来认证一下,需要将 crt 公钥、key私钥复制到验证中,发现认证ok,则说明实现防篡改。

后缀为crt公钥需要带着 -----BEGIN CERTIFICATE----- 和 -----END CERTIFICATE----- 一起复制。后缀为key私钥私钥需要带着 -----BEGIN RSA PRIVATE KEY----- 和 -----END RSA PRIVATE KEY----- 一起复制。

七、总结

  1. 在本篇中我们通过手动或者官方模板的方式简易的实现了我们的IdentityServer授权服务器搭建,并做了相应的配置和UI配置,实现了获取Token方式。

  2. 对于相应的配置我们需要注意的三个点就是,有哪些用户(users)可以通过哪些客户端(clents)来访问我们的哪些API保护资源 (API)。

  3. 在后续会对其中的授权模式,数据库持久化问题,以及如何应用在API资源服务器中和配置在客户端中,会进一步说明。

  4. 如果有不对的或不理解的地方,希望大家可以多多指正,提出问题,一起讨论,不断学习,共同进步。

  5. 项目地址 

    https://github.com/i3yuan/Yuan.IdentityServer4.Demo 

八、资料

IdentityServer4官方文档

IdentiytServer4模板

IdentityServer4界面

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/307291.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

136. 只出现一次的数字(hot100)

一:题目 二:上码 class Solution {public int singleNumber(int[] nums) {int ans -100;Arrays.sort(nums);for (int i 0; i < nums.length-1; i2) {if (nums[i] ! nums [i1]) {ans nums[i];break;}}return ans -100 ? nums[nums.length-1] : ans;} }

高并发项目Java是标配?.NET Core要将它拉下“神坛”!

电商的秒杀和抢购&#xff0c;对我们来说&#xff0c;都不是一个陌生的东西。然而&#xff0c;从技术的角度来说&#xff0c;这对于Web系统是一个巨大的考验。当一个Web系统&#xff0c;在一秒钟内收到数以万计甚至更多请求时&#xff0c;系统的优化和稳定至关重要。缓存技术是…

141. 环形链表(hot100)

一:题目 二:上码 /*** Definition for singly-linked list.* class ListNode {* int val;* ListNode next;* ListNode(int x) {* val x;* next null;* }* }*/ public class Solution {public boolean hasCycle(ListNode head) {ListNode fa…

程序员修神之路--分布式系统使用网关到底是好还是坏?

“灵魂拷问分布式系统需要统一的网关吗&#xff1f;网关会带来哪些优势&#xff1f;引入网关会带来灾难吗&#xff1f;分布式系统的设计大体上分为中心化和非中心化&#xff0c;像现在流行的微服务模式&#xff0c;本质上是把各种业务拆分为独立的进程来实现业务的扩展性。伴随…

160. 相交链表(hot100)

一:题目 二:上码 /*** Definition for singly-linked list.* struct ListNode {* int val;* ListNode *next;* ListNode(int x) : val(x), next(NULL) {}* };*/ class Solution { public:ListNode *getIntersectionNode(ListNode *headA, ListNode *headB) {ListN…

.NET Core开源任务调度平台ScheduleMaster上新了

ScheduleMaster上一次比较大的更新还是在6月份&#xff0c;转眼已经快过去4个月了&#xff0c;这段时间比较忙&#xff0c;中间只更新过一次修复了几个小bug。要总结这次更新的话&#xff0c;必须要用“千呼万唤始出来”了&#xff0c;因为这次不仅经历的时间比较久&#xff0c…

234. 回文链表(hot100)

一:题目 二:上码 /*** Definition for singly-linked list.* public class ListNode {* int val;* ListNode next;* ListNode() {}* ListNode(int val) { this.val val; }* ListNode(int val, ListNode next) { this.val val; this.next next; }* }*/ …

T-SQL | 逻辑查询处理内幕学习

【T-SQL】| 作者 / Edison Zhou这是EdisonTalk的第296篇学习分享T-SQL是ANSI和ISO SQL标准的MS SQL扩展&#xff0c;其正式名称为Transact-SQL&#xff0c;但一般程序员都称其为T-SQL。本文是我学习《T-SQL查询》一书的读书笔记&#xff0c;为你讲解逻辑查询的内幕。1逻辑查询处…

461. 汉明距离(详解)

一:题目 二:上码 class Solution {/**在信息论中&#xff0c;两个等长字符串之间的汉明距离是两个字符串对应位置的不同字符的个数换句话说就是将字符串转换成另一个字符串需要替换的字符的个数*/public int hammingDistance(int x, int y) {int count 0;if (x y) return 0;…

在 Azure 上给我的博客配置负载均衡

点击上方蓝字关注“汪宇杰博客”导语前阵有美国读者嘲讽我的博客在美国地区页面加载速度太慢&#xff0c;还好意思写性能优化的文章。为了让美国朋友们闭嘴&#xff0c;并不给中国人丢脸&#xff0c;我使用了钞能力&#xff0c;在 Azure 国际版上给我的博客部署了一个美国地区的…

543. 二叉树的直径(详解)

一:题目 二:上码 /*** Definition for a binary tree node.* public class TreeNode {* int val;* TreeNode left;* TreeNode right;* TreeNode() {}* TreeNode(int val) { this.val val; }* TreeNode(int val, TreeNode left, TreeNode right) {* …

C#实现乞丐版IOC容器

一、前言netcore中的容器非常好用&#xff0c;今天我们自己来简单实现一个。实现容器的核心接口有两个&#xff1a;IServiceCollection、IServiceProvider。其中IServiceCollection定义容器集合&#xff0c;IServiceProvider提供容器中对象的访问。话不多说&#xff0c;直接编码…

leetcode hot100.2. 两数相加(详解)

一:题目 二:上码 // /** // * Definition for singly-linked list. // * public class ListNode { // * int val; // * ListNode next; // * ListNode() {} // * ListNode(int val) { this.val val; } // * ListNode(int val, ListNode next) { t…

COSCon‘20 参会指南 | 你想知道的都在这里(文末有福利)

中国开源年会 COSCon20&#xff0c;本周末你准备好了吗业界最具影响力的开源年度盛会2020中国开源年会 (COSCon20) 将于 10月24-25日由开源社举办。本次大会较往年出现了许多新变化&#xff0c;您可能有许多问题&#xff0c;为了让大家尽快参与其中&#xff0c;小编在这里为大家…

leetcode647. 回文子串(动态规划)

一:题目 二:上码 class Solution {/**思路:1.确定dp数组dp[i][j]:表示的是区间范围内[i,j]的字符串是否是回文串 2.确定dp数组递推公式1>:如果s[i] ! s[j] 那就是false2>:如果s[i] s[j] 如果 i - j < 1 那么的话 dp[i][j] 就为true如果 i - j > 1 的话 那就要看…

搬砖的八种境界

这一点文字&#xff0c;纯属有感而发。世上的道路千万条&#xff0c;搬砖的队伍更是前仆后继&#xff0c;延绵不绝。我总结有八种境界&#xff0c;请各位看官对号入座&#xff0c;不要客气。不知道怎么搬砖。职业早期&#xff0c;无可厚非。但如果长期处于这个阶段&#xff0c;…

芯片项目谁支持谁负责 重大损失将予以通报

随着全国掀起半导体热&#xff0c;全国各地都在大力投资&#xff0c;其中不乏浑水摸鱼的存在&#xff0c;在江苏、四川、湖北、贵州已经有多个半导体大项目先后停摆。在南京&#xff0c;号称投资30亿美元的德科码已经烂尾。在淮安&#xff0c;规划总投资450亿元的德淮半导体烂尾…

leetcode5. 最长回文子串

一:题目 二:上码 class Solution {/**思路:1.确定dp数组2.确定dp数组的递推公式s[i] ! s[j] 那么dp[i][j] 肯定为falses[i] s[j] 那么的话 i - j < 1 为true ans max(ans,i-j 1);i - j > 1的话 那么dp[i1][j-1] true的话那么dp[i][j] trueans max(ans,i-j1);3.确定…

leetcode11. 盛最多水的容器

一:题目 二:上码 // class Solution { // public int maxArea(int[] height) { // int len height.length; // int ans 0;// for (int i 0; i < len; i) { // for (int j len - 1; j > i; j--) {// int x …

技术债! 怎样简洁高效的实现多个 Enum 自由转换

一&#xff1a;背景 1. 讲故事前段时间和同事负责一个项目的两个业务模块&#xff0c;可能大家缺少沟通&#xff0c;导致本该定义一个 Enum 的地方结果我俩各自定义了一个&#xff0c;导致后面这两个 Enum 进行对接就烦了&#xff0c;为了方便理解&#xff0c;也不想让大家看这…