Asp.Net Core 中IdentityServer4 实战之 Claim详解

一、前言

由于疫情原因,让我开始了以博客的方式来学习和分享技术(持续分享的过程也是自己学习成长的过程),同时也让更多的初学者学习到相关知识,如果我的文章中有分析不到位的地方,还请大家多多指教;以后我会持续更新我的文章,望大家多多支持和关注。 

        上几篇文章主要分享了IdentityServer4在Asp.Net Core 3.x 中的应用,在上面的几篇分享中有一部分博友问了我这么一个问题"他通过IdentityServer4 来搭建授权中心网关服务,怎么才能在访问受保护的Api资源中获取到用户的相关的身份信息呢?"。那这篇文章主要来分享认证过程中的一个重要组成部分Claim,在开始之前强烈建议还没看过我写的 IdentityServer4 系列文章的同学先看一下,下面几篇文章中以架构思维带大家进入IdentityServer4 的世界

  • Asp.Net Core IdentityServer4 中的基本概念

  • Asp.Net Core 中IdentityServer4 授权中心之应用实战

  • Asp.Net Core 中IdentityServer4 授权中心之自定义授权模式

  • Asp.Net Core 中IdentityServer4 授权原理及刷新Token的应用

二、Claim 是什么

Claim

Claim 我的理解是一个声明,存储着一个键值对的关系,就相当于身份证中的 姓名:特朗普 , 性别:男等等身份证的系列元素,每一个项都是一个键值,我们看看Claim主要代码

public class Claim
{public string ClaimType { get; set; }public string ClaimValue { get; set; }
}

代码中主要核心两个属性 ClaimTypeClaimValue;ClaimType 就是Key,ClaimValue就代表一个Value。这样的话,刚好可以存储一个键值对。这时候姓名:特朗普是不是就可以存进去了。同时微软也提供了默认的ClaimType,部分默认的如下图:Claim 差不多已经介绍完毕,相对比较简单清晰,Claim可以说是身份的最小单元的声明(身份单元)。

ClaimsIdentity

我们先来看看ClaimsIdentity的部分代码,代码如下:

public class ClaimsIdentity:IIdentity
{public ClaimsIdentity(IEnumerable<Claim> claims){}//名字这么重要,当然不能让别人随便改啊,所以我不许 set,除了我儿子跟我姓,所以是 virtual 的public virtual string Name { get; }public string Label { get; set; }//身份单元集合public virtual IEnumerable<Claim> Claims { get; }//这是我的证件类型,也很重要,同样不许 setpublic virtual string AuthenticationType { get; }public virtual void AddClaim(Claim claim);public virtual void RemoveClaim(Claim claim);public virtual void FindClaim(Claim claim);
}

从代码中可以看到有一个Claims属性,是一个集合,看到这里是不是可以把我们的身份证给联想进去呢?我们每个人都有一个“身份证”(ClaimIdentity),身份证中包含了多个“身份单元”(Claim)等信息。从代码中还有一个特别重要的属性AuthenticationType 翻译成认证类型,这里也就相当于证件类型,比如身份证,它的证件类型就是"身份证",护照证机的证件类型就是"护照"。同时ClaimsIdentity继承了IIdentity抽象接口,我们再来看看这个抽象接口的代码:

// 定义证件对象的基本功能。
public interface IIdentity
{//证件名称string Name { get; }// 用于标识证件的载体类型。string AuthenticationType { get; }//是否是合法的证件。bool IsAuthenticated { get; }
}

到这里ClaimsIdentity介绍的差不多了,ClaimsIdentity就相当于是身份证、或者护照之类的东西,一个能够证明身份的证件。

ClaimsPrincipal

一个人有了身份,就会有多重身份,比如你即是司机校长公司老板等等,那你就会有驾驶证教师证公司的营业执照等证件。那这些证件需要一个载体去容纳,那ClaimsPrincipal这个就相当于是这些证件的载体,我们来看看它的部分核心代码:

    public class ClaimsPrincipal : IPrincipal{public ClaimsPrincipal();public ClaimsPrincipal(IEnumerable<ClaimsIdentity> identities);public ClaimsPrincipal(IIdentity identity);public ClaimsPrincipal(IPrincipal principal);public virtual IIdentity Identity { get; }public virtual IEnumerable<ClaimsIdentity> Identities { get; }//把证件添加到载体中public virtual void AddIdentities(IEnumerable<ClaimsIdentity> identities);//把证件添加到载体中public virtual void AddIdentity(ClaimsIdentity identity);//以下都是从载体中获取证件等操作public virtual IEnumerable<Claim> FindAll(Predicate<Claim> match);public virtual IEnumerable<Claim> FindAll(string type);public virtual Claim FindFirst(string type);public virtual Claim FindFirst(Predicate<Claim> match);public virtual bool HasClaim(Predicate<Claim> match);//是否属于某个角色public virtual bool IsInRole(string role);}

ClaimsPrincipal 介绍完了,我这里把ClaimsPrincipal 它叫证件的容器载体我们已经知道了 “身份单元(Claims)” , “身份证(ClaimsIdentity)” , “证件容器载体(ClaimsPrincipal)”这三者的关系。我们简单的来看下身份认证携带信息的简化的流程图:好了,这里Claim相关概念理清楚了,这里也需要感谢下 微软MVP大佬@Savorboard 的文章https://www.cnblogs.com/savorboard/p/aspnetcore-identity.html  让我理清楚了这些关系!

三、实战

我这里继续我上几篇文章的代码基础上编写,需要代码的可以访问 https://github.com/a312586670/IdentityServerDemo  代码会跟着博客同步更新。上几篇文章中解决方案中已经创建了如下三个项目:

  • Jlion.NetCore.Identity :Identity公共基础类库

  • Jlion.NetCore.Identity.Service : Ids4授权服务,也是上几篇文章中说的授权中心服务简单版本

  • Jlion.NetCore.Identity.UserApiService :用户业务网关(受保护的资源)

授权中心(Ids4授权服务)

Jlion.NetCore.Identity.Service

我们先在授权中心(ids4)服务中验证用户的代码中添加用户的相关Claims,核心代码如下:不熟悉的请先移步Asp.Net Core 中IdentityServer4 授权中心之应用实战 这篇文章

public class ResourceOwnerPasswordValidator : IResourceOwnerPasswordValidator{public async Task ValidateAsync(ResourceOwnerPasswordValidationContext context){try{var userName = context.UserName;var password = context.Password;//验证用户,这么可以到数据库里面验证用户名和密码是否正确var claimList = await ValidateUserAsync(userName, password);// 验证账号context.Result = new GrantValidationResult(subject: userName,authenticationMethod: "custom",claims: claimList.ToArray());}catch (Exception ex){//验证异常结果context.Result = new GrantValidationResult(){IsError = true,Error = ex.Message};}}#region Private Method/// <summary>/// 验证用户/// </summary>/// <param name="loginName"></param>/// <param name="password"></param>/// <returns></returns>private async Task<List<Claim>> ValidateUserAsync(string loginName, string password){//TODO 这里可以通过用户名和密码到数据库中去验证是否存在,// 以及角色相关信息,我这里还是使用内存中已经存在的用户和密码var user = OAuthMemoryData.GetTestUsers();if (user == null)throw new Exception("登录失败,用户名和密码不正确");//我这里为了测试,简单的硬编码,生产环境可以通过数据库中读取到相关信息构造`Claim`(**身份单元**)return new List<Claim>(){new Claim(ClaimTypes.Name, $"{loginName}"),new Claim(EnumUserClaim.DisplayName.ToString(),"测试用户"),new Claim(EnumUserClaim.UserId.ToString(),"10001"),new Claim(EnumUserClaim.MerchantId.ToString(),"000100001"),};}#endregion}

现在,多个Claim已经构建完成,多个Claim构建出了一个用户身份,它们都属于即将登录的用户所拥有的身份单元,接下来我们还需要实现IProfileService抽象接口, 代码如下:

public class UserProfileService : IProfileService
{/// <summary>////// </summary>/// <param name="context"></param>/// <returns></returns>public async Task GetProfileDataAsync(ProfileDataRequestContext context){try{var claims = context.Subject.Claims.ToList();// 把认证通过的用户身份context.IssuedClaims = claims.ToList();}catch { }}/// <summary>////// </summary>/// <param name="context"></param>/// <returns></returns>public async Task IsActiveAsync(IsActiveContext context){context.IsActive = true;}}

GetProfileDataAsync主要为用户加载Claims,实现该代码并且通过AddProfileService<T>()方法添加到DI中,才能在API资源中获取到用户的身份信息,代码如下:

  public void ConfigureServices(IServiceCollection services){services.AddControllers();#region 数据库存储方式services.AddIdentityServer().AddDeveloperSigningCredential().AddInMemoryApiResources(OAuthMemoryData.GetApiResources())//.AddInMemoryClients(OAuthMemoryData.GetClients()).AddClientStore<ClientStore>().AddResourceOwnerValidator<ResourceOwnerPasswordValidator>().AddExtensionGrantValidator<WeiXinOpenGrantValidator>()//添加微信端自定义方式的验证(上篇自定义授权方式的代码).AddProfileService<UserProfileService>();#endregion}

Api资源(受保护的资源)

Jlion.NetCore.Identity.UserApiService

我们先来创建UserIdentityExtension扩展类,代码如下:

 public static class UserIdentityExtension{/// <summary>/// 获得用户的Name/// </summary>/// <param name="this"></param>/// <returns></returns>public static string Name(this ClaimsPrincipal @this){return @this?.Identity?.Name;}/// <summary>/// 获得DisplayName/// </summary>/// <param name="this"></param>/// <returns></returns>public static string DisplayName(this ClaimsPrincipal @this){var value = @this?.Claims?.FirstOrDefault(oo => oo.Type == EnumUserClaim.DisplayName.ToString())?.Value;return value;}public static string UserId(this ClaimsPrincipal @this){return @this?.Claims?.FirstOrDefault(oo => oo.Type == EnumUserClaim.UserId.ToString())?.Value;}public static string MerchantId(this ClaimsPrincipal @this){return @this?.Claims?.FirstOrDefault(oo => oo.Type == EnumUserClaim.MerchantId.ToString())?.Value;}}

再在原来的代码基础上新增UserController控制器,代码如下:

[Authorize]
[ApiController]
[Route("[controller]")]
public class UserController : ControllerBase
{private readonly ILogger<UserController> _logger;public UserController(ILogger<UserController> logger){_logger = logger;}}

UserController控制器已经创建完了,继承了ControllerBase基类,我们来看看ControllerBase包含了哪些信息,核心的代码如下:

/// <summary>
/// A base class for an MVC controller without view support.
/// </summary>
[Controller]
public abstract class ControllerBase
{//通过请求上下文中获得User(证件载体容器)public ClaimsPrincipal User => HttpContext?.User;//其他核心代码没有贴出来,具体的可以看官方源代码
}

看了源代码,我们是不是可以考虑使用User来获取身份证件中的某些身份元件呢?,在UserController添加获取用户信息的接口,完整代码如下:

[Authorize]
[ApiController]
[Route("[controller]")]
public class UserController : ControllerBase
{private readonly ILogger<UserController> _logger;public UserController(ILogger<UserController> logger){_logger = logger;}[HttpGet]public async Task<object> Get(){//通过ClaimsPrincipal(证件容器载体)获得某些证件的身份元件var userId = User.UserId();return new{name = User.Name(),userId = userId,displayName = User.DisplayName(),merchantId = User.MerchantId(),};}
}

好了,代码已经构建完成!!!现在我把两个服务通过命令行启动起来.Jlion.NetCore.Identity.Service启动如下图:我这里还是以"http://localhost:5000" 地址启动Jlion.NetCore.Identity.UserApiService 启动如下图:这里以"http://localhost:5001"地址启动

现在我们通过postman 访问ids4服务器获得accesstoken 如下图:获取access_token 成功,我再携带access_token访问 用户业务网关,如下图:

成功获取到用户身份信息 Claims相关信息。

结论:ids4授权服务中构建用户身份信息(Claim)通过身份容器载体ClaimsPrincipal载入(具体载入到哪里?是怎么携带到Api资源网关中的?下篇文章再来分享具体的原理和流程);再经过受保护的Api资源网关中通过ClaimsPrincipal身份容器载体获得当前用户的相关信息后就可以做一些基于角色授权业务相关的事情。

博客系列文章源代码地址:https://github.com/a312586670/IdentityServerDemo

参考文章:

https://www.cnblogs.com/savorboard/p/aspnetcore-identity.html

精彩推荐

【.net core】电商平台升级之微服务架构应用实战

Asp.Net Core 中IdentityServer4 授权中心之应用实战

Asp.Net Core 中IdentityServer4 授权中心之自定义授权模式

Asp.Net Core 中IdentityServer4 授权流程及刷新Token

sdfd

·end·

dotNET博士

长按关注,一起学习分享技术

♥ 给个[在看],是对我最大的支持 ♥

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/310968.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

程序员还有35岁的坎吗?

程序员还有35岁的坎吗?

昨天晚上和多年未见的前同事聊天&#xff0c;提到了程序员的年龄歧视问题&#xff1a;自己年龄也 30 出头了&#xff0c;在思考 IT 届流传的 35 岁是一个坎的问题&#xff1b;开始注重提升管理能力&#xff0c;担心35岁之后&#xff0c;一线写代码的岗位不能胜任&#xff1b;公…
阅读更多...
java 左移 返回值_java左移右移运算符详解

java 左移 返回值_java左移右移运算符详解

在阅读源码的过程中&#xff0c;经常会看到这些符号<< &#xff0c;>>&#xff0c;>>>&#xff0c;这些符号在Java中叫移位运算符&#xff0c;在写代码的过程中&#xff0c;虽然我们基本上不会去写这些符号&#xff0c;但需要明白这些符号的运算原理&…
阅读更多...
人与人的差距在于认知

人与人的差距在于认知

作者介绍findyi&#xff0c;腾讯、360码农&#xff0c;前哒哒少儿英语技术VP&#xff0c;现任土豆教育CTO。工作和生活中不光要埋头干活&#xff0c;还要抬头看天。思考总结方法论是提升认知的必备途径&#xff0c;是将碎片化知识总结为动态的智慧的过程。认知有多重要&#xf…
阅读更多...
.NET5来了你别慌

.NET5来了你别慌

近日微软.Net大咖Scott在博客中对外宣传.NET5首个预览版&#xff0c;并且我们可以通过微软的官网下载SDK5和运行库。很多朋友感觉.NetCore3.1还没搞明白&#xff0c;.NET5就来了感觉一下子慌了神。在这里我提醒朋友们&#xff0c;瞬息万变的世界中&#xff0c;总有相对不变的真…
阅读更多...
java8 stream 最大值_JDK8-Stream流常用方法

java8 stream 最大值_JDK8-Stream流常用方法

Stream流的使用流操作是Java8提供一个重要新特性&#xff0c;它允许开发人员以声明性方式处理集合&#xff0c;其核心类库主要改进了对集合类的 API和新增Stream操作。Stream类中每一个方法都对应集合上的一种操作。将真正的函数式编程引入到Java中&#xff0c;能 让代码更加简…
阅读更多...
周三晚6点半!盛派首席架构师“苏老师”在线解密内部系统框架!

周三晚6点半!盛派首席架构师“苏老师”在线解密内部系统框架!

工作中有些事&#xff0c;看起来只用一会会儿就能完成&#xff0c;但真正完成起来&#xff0c;总会遇到一些意想不到的困难&#xff01;你一定碰到过这样的情况——开发时间 2 周的项目&#xff0c;搭框架就要用 1 周&#xff0c;刚开发完&#xff0c;各种调试和修 bug又花去 2…
阅读更多...
给微软的日志框架写一个基于委托的日志提供者

给微软的日志框架写一个基于委托的日志提供者

动手造轮子&#xff1a;给微软的日志框架写一个基于委托的日志提供者Intro微软的日志框架现在已经比较通用&#xff0c;有时候我们不想使用外部的日志提供者&#xff0c;但又希望提供一个比较简单的委托就可以实现日志记录&#xff0c;于是就有了后面的探索和实现。Solution基于…
阅读更多...
C++分析使用拷贝控制成员和调用构造函数的时机

C++分析使用拷贝控制成员和调用构造函数的时机

我们来分析下面这段代码&#xff1a; #include <iostream> #include <vector>using namespace std;struct X {X() {cout << "构造函数X()" << endl;}X(const X &) {cout << "拷贝构造函数X(const X&)" << en…
阅读更多...
《C++ Primer》13.1.4节练习

《C++ Primer》13.1.4节练习

练习13.14: 这是一个典型的应该定义拷贝控制成员的场合。如果不定义拷贝构造函数和拷贝赋值运算符&#xff0c;依赖合成的版本&#xff0c;则在拷贝构造和赋值时&#xff0c;会简单复制数据成员。对本问题来说&#xff0c;就是将序号简单复制给新对象。 因此&#xff0c;代码中…
阅读更多...
十问十答 CDDL 许可证

十问十答 CDDL 许可证

今天我们来整理一下通用开发和发行许可证 CDDL 的十大问题清单。通用开发与发行许可证&#xff08;Common Development and Distribution License&#xff0c;CDDL&#xff09;由已被甲骨文公司收购的太阳微系统公司&#xff08;Sun Microsystems&#xff09;发布的一种开源许可…
阅读更多...
Http Server API路由请求到web程序

Http Server API路由请求到web程序

引言接上文&#xff0c;容器内web程序一般会绑定到http://0.0.0.0:{某监听端口}或http://:{某监听端口}&#xff0c;以确保使用容器IP可以访问到web应用。正如我们在ASP.NET Core官方镜像显示的&#xff0c;ASP.NET Core程序在容器内80端口监听请求This image sets the ASPNETC…
阅读更多...
《C++ Primer》13.1.6节练习(部分)

《C++ Primer》13.1.6节练习(部分)

练习13.18: #include <iostream> #include <string> using namespace std;class Employee {private:static int sn;public:Employee() {mysn sn;}Employee(const string &s) {name s;mysn sn;}const string &get_name() {return name;}int get_mysn() …
阅读更多...
用Azure Custom Vision 零代码创建一个口罩识别模型

用Azure Custom Vision 零代码创建一个口罩识别模型

新冠肺炎下&#xff0c;地球是一家&#xff0c;不分国籍&#xff0c;不分种族&#xff0c;或者现在只能呆在家中&#xff0c;但是也是一种对抗疫的支持。停课不停学留在家中&#xff0c;不仅是对学生&#xff0c;对于所有人都是有用的。在现阶段&#xff0c;大家可能最需要的不…
阅读更多...
C++拷贝构造函数调用时机分析

C++拷贝构造函数调用时机分析

让我们来分析下面这段代码&#xff1a; #include <iostream> #include <string> using namespace std;class Employee {private:static int sn;public:Employee() {cout << "Employee()" << endl;mysn sn;}Employee(const string &s) …
阅读更多...
百万年薪程序员的7点能力

百万年薪程序员的7点能力

作者介绍findyi&#xff0c;腾讯、360码农&#xff0c;前哒哒少儿英语技术VP&#xff0c;现任土豆教育CTO。几周前&#xff0c;微盟爆了个大雷&#xff0c;数据库让内部员工删库跑路。写了篇文章&#xff0c;做了一些我的判断&#xff1a;从微盟36小时故障&#xff0c;谈谈数据…
阅读更多...
《C++ Primer》13.1.1节练习

《C++ Primer》13.1.1节练习

练习13.1: 如果构造函数的第一个参数是自身类类型的引用&#xff0c;且所有其他参数&#xff08;如果有的话&#xff09;都有默认值&#xff0c;则此构造函数是拷贝构造函数。拷贝构造函数在以下几种情况下会被使用&#xff1a; ●拷贝初始化&#xff08;用定义变量&#xff09…
阅读更多...
Java将五个整数存入整形数组_异常处理:从命令行输入5个整数,放入一整型数组,然后打印输出。。。...

Java将五个整数存入整形数组_异常处理:从命令行输入5个整数,放入一整型数组,然后打印输出。。。...

从命令行输入5个整数&#xff0c;放入一整型数组&#xff0c;然后打印输出。要求&#xff1a;如果输入数据不为整数&#xff0c;要捕获输入不匹配异常&#xff0c;显示“请输入整数”&#xff1b;如果输入数据多余5个&#xff0c;捕获数组越界异常&#xff0c;显示“请输入5个整…
阅读更多...
优秀的开发者从命名开始

优秀的开发者从命名开始

有人说&#xff0c;命名能力也能体现一个程序员的基本编程素养。我很赞成这句话&#xff01;作为开发人员逃不过起名字这一关的,大到项目名、模块名&#xff0c;小到类名、方法名、参数名、参数名、变量名。而命名又对代码的质量和可读性起到很关键的决定。如何码出高质量的代码…
阅读更多...
【复杂系统迁移 .NET Core平台系列】之认证和授权

【复杂系统迁移 .NET Core平台系列】之认证和授权

源宝导读&#xff1a;微软跨平台技术框架—.NET Core已经日趋成熟&#xff0c;已经具备了支撑大型系统稳定运行的条件。本文将介绍明源云ERP平台从.NET Framework向.NET Core迁移过程中的实践经验。一、背景随着ERP的产品线越来越多&#xff0c;业务关联也日益复杂&#xff0c;…
阅读更多...
《C++ Primer》13.1.3节练习

《C++ Primer》13.1.3节练习

练习13.9: 析构函数完成与构造函数相反的工作&#xff1a;释放对象使用的资源&#xff0c;销毁非静态数据成员。从语法上看&#xff0c;它是类的一个成员函数&#xff0c;名字是波浪号接类名&#xff0c;没有返回值&#xff0c;也不接受参数。 当一个类没有定义析构函数时&…
阅读更多...
推荐文章
最新文章

Copyright @ 2022~2023