哈喽大家周四好！时间过的很快，现在已经是三月份了，我的 IdentityServer4 教程也拖了一定的时间了，正好最近有精力学新东西了，主要中间被小伙伴要求写一个管理后台，目前1.0已经上线（《权限后台系统 1.0 正式上线》），平时也一直开发维护中，希望能达到更优吧。

开发之余，晚上的时候，一直慢慢的学习 Id4，经过了大概半个月的简单资料寻找和学习，对 Id4 有了初步的认识，发现随着不断地学习，其实也没有刚开始学的时候的那种莫名的恐惧感了（有些小伙伴应该会有和我一样的心情，就是初学一门技术的时候，内心总是很恐慌的，比如我当时学DDD（地址：《D3模式设计初探 与 我的计划书》），其实我认为我们恐慌的不是学不会，而是对学习动力的不自信，大胆的学就对了，哪怕最后只知道OAuth是啥，哪怕最后只会照着套模板，也是一种成功！）。

从今天起，我将慢慢的更新 IdentityServer4 系列，因为我还没有学习完，所以会一边学习一边开发，最后形成一个统一的服务项目，初步打算把所有开源的这些项目（Blog.Vue、Blog.tBug、Blog.Admin、DDD等，相关项目参看开源地址 https://github.com/anjoy8）都集中到这一个授权服务器上，我暂时取名为 Blog.IdentityServer ，正好有 vue/js 项目，也有 MVC 项目，{_{把这个系列写完，前后端分离就差不多了，我也不打算再写了}，}至于如何搭建仓库，如何多项目调用，这我先斟酌下，会在以后的文章中，一一说到，因为要用到 EFCore 来处理用户数据，我个人感觉这还是一个很实用的项目，毕竟这几个都是实实在在的有血有肉的工程，不只是一个简单的Demo，自己都可以拿来改改优化优化，直接用了（我这王婆卖瓜也是没谁了?）。

本文只是一个开篇讲，不会涉及到内容知识点，有很多小伙伴都是一直看我的文章的，特别是看过我写的JWT 微软官方自带授权认证的《JWT授权》，如果之前的你能看懂，或者八成懂，那么这个系列肯定也能，如果以前的都看不懂，(⊙﹏⊙)，只能说咱们缘分太浅?。

废话不多说，先把我这两周的小成果展示下，当然，现在很low，以后会各种优化和改进，预计会有十篇文章，

故事背景

这个是我的第一个 Vue.js 项目 Blog.Vue，（长的很丑，我决定趁着这个机会，把这个美化一下，毕竟我也是看脸的，先用这个练练手，其他的再慢慢更新授权），这个项目首页不需要登录，但是详情页需要用户登录，之前我是走的 Blog.Core 很普通的登录，那以后全部会走 Blog.IdentityServer 统一授权服务器了，请注意是两个端口/域名（Vue是6688端口，Id4是5002端口）：

可能你会感觉很简单，不就是一个客户端跳转到授权服务器嘛，然后登录了再跳转过来，增加了个用户角色授权，额，我也感觉挺简单的，可是我一个月前真不是这么认为的，当时我感觉还是有点儿难度，现在看起来还可以，所以说，Id4想入门还是可以的，至于后期匹配的微服务了，API网关了，负载均衡了，嗯，来日方长。

1、源代码Github

授权服务：https://github.com/anjoy8/Blog.IdentityServer

资源服务：https://github.com/anjoy8/Blog.Core

客户端一：https://github.com/anjoy8/Blog.Admin

以后每一个项目修改完登录授权，这里就列举一个，争取把所有项目的授权都迁到 Id4 服务器上。

2、本系列文章一览

• 01 ║ 授权服务器 IdentityServer4 开篇讲&计划书

• 02 ║ 基础知识集合 & 项目搭建一

1、先看看概念

我们通过查看官网，就看到官方很明显的定义（下文的必看文档中有官网地址）：

IdentityServer4 is an OpenID Connect and OAuth 2.0 framework for ASP.NET Core 2.

IdentityServer是基于OpenID Connect协议标准的身份认证和授权程序，它实现了OpenID Connect 和 OAuth 2.0 协议。

同一种概念，不同的文献使用不同的术语，比如你看到有些文献把他叫做安全令牌服务（Security Token Service），
身份提供（Identity Provider），授权服务器（Authorization Server），IP-STS 等等。其实他们都是一个意思，目的都是在软件应用中为客户端颁发令牌并用于安全访问的。

IdentityServer有许多功能：

保护你的资源
使用本地帐户或通过外部身份提供程序对用户进行身份验证
提供会话管理和单点登录
管理和验证客户机
向客户发出标识和访问令牌
验证令牌

2、它有什么优点？

 

现在的应用开发层出不穷，基于浏览器的网页应用，基于微信的公众号、小程序，基于IOS、Android的App，基于Windows系统的桌面应用和UWP应用等等，这么多种类的应用，就给应用的开发带来的挑战，我们除了分别实现各个应用外，我们还要考虑各个应用之间的交互，通用模块的提炼，其中身份的认证和授权就是每个应用必不可少的的一部分。而现在的互联网，对于信息安全要求又十分苛刻，所以一套统一的身份认证和授权就至关重要。

优点：简单

因此，从实现者的角度来看，我在OAuth 2中看到的主要优点是复杂性降低。它不需要请求签名过程，这是不是很难，但肯定是fiddly。它大大减少了作为服务的客户端所需的工作，这是(在现代的，移动世界)你最想要最小化疼痛的地方。在服务器 – >内容提供者端的降低的复杂性使其在数据中心中更具可扩展性。

它将标准的一些扩展编码为OAuth 1.0a(如xAuth)，现在广泛使用。

大多数的应用都如上所示，基本上都是通过客户端对API进行请求（浏览器、Web程序、本机应用程序）等。当你的项目到了一定得范围和大小之后，就有可能去使用Nginx,这个时候,也必须考虑站点的安全性,因为不能让你的核心业务信任外界任何的调用.当然还有的时候，我们的拥有自己的一套API,为自己服务进行使用，我们不想让别人来调用我们的，这个时候也可以进行使用。

这里引用下圣杰的图，圣杰是我知道为数不多的，知识和Code都很强的大佬，曾经有缘聊过两句。

1、用到了哪些知识点

正如上边的结构脑图中显示的，大概就是这么多，可能你会感觉很多，开始你简单看一下，有些概念咱们在讲 JWT 授权的时候，都说过见过，甚至亲身用过，比如：JWT（以及其中的iss、sub、expires等等），Claim， Authentication，access_token，还有所谓的API Resource资源。

• OAuth 2.0 简介  ?

• OpenID 和 OAuth 的区别  ?

• 客户端授权模式（Client Credentials）? 

• 密码授权模式（Resource Owner Password Credentials）?

• 授权码授权模式（Authorization Code Flow，MVC调用）?

• 简化授权模式-OpenID（Implicit Flow，JS/Vue 客户端调用）?

• 混合模式-OpenID & OAuth（Hybrid Flow，角色+策略授权）?

• 集成 ASP.NET Core Identity and EntityFramework Core  ?

• 单点登录  ?

• 刷新登录 RefreshToken  ?

• 外部登录（比如QQ、Google、Github等）?

2、部分结构/流程图

 

（Authorization Code）

 

（使用 OpenID Connect 的身份验证流）

3、必看文档

我一直坚信，只要把官方文档啃透了，肯定能学会，至少会七成，好多人都没有养成这个习惯，就直接看Demo了，希望大家还是先看看文档。

IdentityServer4：https://identityserver4.readthedocs.io/en/latest/

OAuth2.0：https://oauth.net/2/

OpenID Connect：https://openid.net/connect/

1、https://docs.azure.cn/zh-cn/active-directory/develop/authentication-scenarios

2、https://github.com/IdentityServer/IdentityServer4.Samples

3、IdentityServer4 for OpenID Connect 和 OAuth 2.0

4、identity server 4

 以后会上传本系列 Id4 仓库...

原文地址：https://www.cnblogs.com/laozhang-is-phi/p/10483922.html

.NET社区新闻，深度好文，欢迎访问公众号文章汇总 http://www.csharpkit.com