IdentityServer4 知多少

640?wx_fmt=png

1. 引言

现在的应用开发层出不穷,基于浏览器的网页应用,基于微信的公众号、小程序,基于IOS、Android的App,基于Windows系统的桌面应用和UWP应用等等,这么多种类的应用,就给应用的开发带来的挑战,我们除了分别实现各个应用外,我们还要考虑各个应用之间的交互,通用模块的提炼,其中身份的认证和授权就是每个应用必不可少的的一部分。而现在的互联网,对于信息安全要求又十分苛刻,所以一套统一的身份认证和授权就至关重要。

640?wx_fmt=png

IdentityServer4就是这样一个框架,IdentityServer4是为ASP.NET CORE量身定制的实现了OpenId Connect和OAuth2.0协议的认证授权中间件。

下面我们就来介绍一下相关概念,并梳理下如何集成IdentityServer4。
也可浏览自行整理的IdentityServer4 百度脑图快速了解。

2. OAuth2.0 && OpenId Connect

640?wx_fmt=png

2.1. OpenId

OpenID 是一个以用户为中心的数字身份识别框架,它具有开放、分散性。OpenID 的创建基于这样一个概念:我们可以通过 URI (又叫 URL 或网站地址)来认证一个网站的唯一身份,同理,我们也可以通过这种方式来作为用户的身份认证。

简而言之:OpenId用于身份认证(Authentication)

2.2. OAuth 2.0

OAuth(开放授权)是一个开放标准,目前的版本是2.0。允许用户授权第三方移动应用访问他们存储在其他服务商上存储的私密的资源(如照片,视频,联系人列表),而无需将用户名和密码提供给第三方应用。
OAuth允许用户提供一个令牌而不是用户名和密码来访问他们存放在特定服务商上的数据。每一个令牌授权一个特定的网站内访问特定的资源(例如仅仅是某一相册中的视频)。这样,OAuth可以允许用户授权第三方网站访问他们存储在另外服务提供者的某些特定信息,而非所有内容。
OAuth是OpenID的一个补充,但是完全不同的服务。

简而言之:OAuth2.0 用于授权(Authorization)。关于OAuth2.0也可参考我的另一篇博文OAuth2.0 知多少。

2.3. OpenId Connect

OpenID Connect 1.0 是基于OAuth 2.0协议之上的简单身份层,它允许客户端根据授权服务器的认证结果最终确认终端用户的身份,以及获取基本的用户信息;它支持包括Web、移动、JavaScript在内的所有客户端类型去请求和接收终端用户信息和身份认证会话信息;它是可扩展的协议,允许你使用某些可选功能,如身份数据加密、OpenID提供商发现、会话管理等。

简而言之:OpenId Connect = OIDC = Authentication + Authorization + OAuth2.0

比如,Facebook、Google、QQ、微博都是比较知名的OpenId Connect提供商。

3. 术语解释

640?wx_fmt=png

了解完OpenId Connect和OAuth2.0的基本概念,我们再来梳理下涉及到的相关术语:

  1. User:用户

  2. Client:客户端

  3. Resources:Identity Data(身份数据)、Apis

  4. Identity Server:认证授权服务器

  5. Token:Access Token(访问令牌)和 Identity Token(身份令牌)

640?wx_fmt=png

4. JwtBearer 认证

4.1. HTTP身份验证流程

HTTP提供了一套标准的身份验证框架:服务器可以用来针对客户端的请求发送质询(challenge),客户端根据质询提供身份验证凭证。质询与应答的工作流程如下:服务器端向客户端返回401(Unauthorized,未授权)状态码,并在WWW-Authenticate头中添加如何进行验证的信息,其中至少包含有一种质询方式。然后客户端可以在请求中添加Authorization头进行验证,其Value为身份验证的凭证信息。

640?wx_fmt=png

Bearer认证(也叫做令牌认证)是一种HTTP认证方案,其中包含的安全令牌的叫做Bearer Token。因此Bearer认证的核心是Token。那如何确保Token的安全是重中之重。一种方式是使用Https,另一种方式就是对Token进行加密签名。而JWT就是一种比较流行的Token编码方式。

4.2. JWT(Json Web Token)

Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准(RFC 7519)。该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。

JWT有三部分组成:
<header>.<payload>.<signature>

  1. Header:由algtyp组成,alg是algorithm的缩写,typ是type的缩写,指定token的类型。该部分使用Base64Url编码。

  2. Payload:主要用来存储信息,包含各种声明,同样该部分也由BaseURL编码。

  3. Signature:签名,使用服务器端的密钥进行签名。以确保Token未被篡改。

HMACSHA256(  base64UrlEncode(header) + "." +base64UrlEncode(payload),secret)

5. 授权模式

OAuth2.0 定义了四种授权模式:

  1. Implicit:简化模式;直接通过浏览器的链接跳转申请令牌。

  2. Client Credentials:客户端凭证模式;该方法通常用于服务器之间的通讯;该模式仅发生在Client与Identity Server之间。

  3. Resource Owner Password Credentials:密码模式

  4. Authorization Code:授权码模式;

5.1. Client Credentials

640?wx_fmt=png

客户端凭证模式,是最简单的授权模式,因为授权的流程仅发生在Client与Identity Server之间。

该模式的适用场景为服务器与服务器之间的通信。比如对于一个电子商务网站,将订单和物流系统分拆为两个服务分别部署。订单系统需要访问物流系统进行物流信息的跟踪,物流系统需要访问订单系统的快递单号信息进行物流信息的定时刷新。而这两个系统之间服务的授权就可以通过这种模式来实现。

5.2. Resource Owner Password Credentials

640?wx_fmt=png

Resource Owner其实就是User,所以可以直译为用户名密码模式。密码模式相较于客户端凭证模式,多了一个参与者,就是User。通过User的用户名和密码向Identity Server申请访问令牌。这种模式下要求客户端不得储存密码。但我们并不能确保客户端是否储存了密码,所以该模式仅适用于受信任的客户端。否则会发生密码泄露的危险。该模式不推荐使用

5.3. Authorization Code

640?wx_fmt=png

授权码模式是一种混合模式,是目前功能最完整、流程最严密的授权模式。它主要分为两大步骤:认证和授权。
其流程为:

  1. 用户访问客户端,客户端将用户导向Identity Server。

  2. 用户填写凭证信息向客户端授权,认证服务器根据客户端指定的重定向URI,并返回一个【Authorization Code】给客户端。

  3. 客户端根据【Authorization Code】向Identity Server申请【Access Token】

5.4. Implicit

640?wx_fmt=png

简化模式是相对于授权码模式而言的。其不再需要【Client】的参与,所有的认证和授权都是通过浏览器来完成的。

6. IdentityServer4 集成

640?wx_fmt=png

通过以上知识点的梳理,我们对OpenId Connect 和OAuth2.0的一些相关概念有了大致认识。而IdentityServer4是为ASP.NET CORE量身定制的实现了OpenId Connect和OAuth2.0协议的认证授权中间件。
所以自然而然我们对IdentityServer4有了基础的认识。下面就来介绍如何集成IdentityServer4。其主要分为三步:

  1. IdentityServer如何配置和启用IdentityServer中间件

  2. Resources如何配置和启用认证授权中间件

  3. Client如何认证和授权

6.1. Identity Server 中间件的配置和启用

作为一个独立的Identity Server,它必须知道哪些资源需要保护,必须知道哪些客户端能够允许访问,这是配置的基础。
所以IdentityServer中间件的配置的核心就是:

  1. 配置受保护的资源列表

  2. 配置允许验证的Client

640?wx_fmt=png

配置完,添加IdentityServer到Pipeline即可。

如果要支持第三方登录服务或自己实现的OpenId Connect服务,则需要额外配置下身份认证中间件。

6.2. Resources的保护配置

配置完Identity Server,接下来我们该思考如何来保护Resources,已经如何将所有的认证和授权请求导流到Identity Server呢?
在此之前,我们还是要梳理下Client访问Resources的请求顺序:

  1. Client请求资源,资源如果需要进行身份认证和授权,则将请求导流到Identity Server。

  2. Identity Server根据Client配置的授权类型,返回【Token】。

  3. Client要能够验证【Token】的正确性。

所以针对要保护的资源,我们需要以下配置:

  1. 指定资源是否需要保护;

  2. 指定IdentityServer用来进行认证和授权跳转;

  3. 指定Token验证;

代码示例:

640?wx_fmt=png

6.3. Client的请求配置

资源和认证服务器都配置完毕,接下来客户端就可以直接访问了。
如果针对控制台客户端应用,三步走就可以访问Api:

  1. 使用DiscoverClient发现Token Endpoint

  2. 使用TokenClient请求Access Token

  3. 使用HttpClient访问Api
    代码示例如下:

640?wx_fmt=png

如果针对ASP.NET Web控制台客户端,我们先来回答一个问题:

  1. 如果Web应用是否需要登录?

  2. 如果需要登录,就需要进行身份认证。

  3. 身份认证成功后,也就需要会话状态的维持。

回答完上面的问题,我们也就梳理出了配置要点:

  1. 添加身份认证中间件

  2. 启用Cookie进行会话保持

  3. 添加OIDC,使用我们自己定义的IdentityServer提供的认证服务

640?wx_fmt=png

7. 最后

本文通过介绍IdentityServer4涉及到的术语和相关概念,再结合官方实例,梳理了集成IdentityServer4的大致思路。而关于如何与ASP.NET Identity、EF Core集成,本文并未涉及,详参官方文档。

Identity Server 官方文档
dentityServer4 中文文档与实战
ASP.NET Core 认证与授权[4]:JwtBearer认证
Bearer Authentication
JSON Web Token
理解OAuth 2.0
Identity Server 授权类型

原文地址:https://www.cnblogs.com/sheng-jie/p/9430920.html

.NET社区新闻,深度好文,欢迎访问公众号文章汇总 http://www.csharpkit.com

640?wx_fmt=jpeg

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/320488.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

牛客网【每日一题】4月2日 月月查华华的手机

牛客网链接 时间限制&#xff1a;C/C 2秒&#xff0c;其他语言4秒 空间限制&#xff1a;C/C 262144K&#xff0c;其他语言524288K 64bit IO Format: %lld 题目描述 月月和华华一起去吃饭了。期间华华有事出去了一会儿&#xff0c;没有带手机。月月出于人类最单纯的好奇心&#…

【二分】Best Cow Fences(poj 2018)

Best Cow Fences poj 2018 题目大意&#xff1a; 给出一个正整数数列&#xff0c;要你求平均数最大&#xff0c;长度不小于M的字串&#xff0c;结果乘1000取整 输入样例 10 6 6 4 2 10 3 8 5 9 4 1输出样例 6500数据范围 1⩽N⩽100,0001\leqslant N \leqslant 100,0001⩽…

离散哈特莱变换(DHT)及快速哈特莱变换(FHT)学习

离散哈特莱变换(DHT)及快速哈特莱变换(FHT)学习 说在前边 最近复习\(DSP\)的时候&#xff0c;发现了一个号称专门针对离散实序列的变换&#xff0c;经分析总运算量为普通\(FFT\)的几乎一半&#xff0c;而且完全没有复数。这么强的吗&#xff1f;于是花了一个下午&#xff0c;去…

.NET Core 2.1中的分层编译(预览)

如果您是.NET性能的粉丝&#xff0c;最近有很多好消息&#xff0c;例如.NET Core 2.1中的性能改进和宣布.NET Core 2.1&#xff0c;但我们还有更多的好消息。分层编译是一项重要的新特性功能&#xff0c;我们可以作为预览供任何人试用&#xff0c;从.NET Core 2.1开始。在我们测…

选择IT事业,意味着终身学习

八月&#xff0c;炎阳如火。 前几天书记找我交流&#xff0c;问我离职的原因&#xff0c;我跟他仔细的分析了一下我的职业发展规划和我对于未来的预期&#xff0c;书记也向我分析了一下他所认为的原因&#xff0c;他说&#xff0c;无外乎是三个原因&#xff1a;第一个是钱的问…

牛客网【每日一题】Shortest Path 4月3日题目精讲 DFS

题号 NC13886 Shortest Path 西南交通大学第十三届ACM决赛 题意&#xff1a; 一棵偶数节点的树&#xff0c;分成n/2对&#xff0c;两两一组&#xff0c;所有组的路径之和最小是多少&#xff1f; 题解&#xff1a; 如果两个点之间相连将另外两个相连的点覆盖&#xff0c;那么完全…

使用Jexus服务器运行Asp.Net Core2.0程序

前段时间写了篇关于.net core跨平台部署的文章。https://my.oschina.net/lichaoqiang/blog/1861977主要讲述了&#xff0c;利用NginxCentOSSupervisor.NetCore2.1&#xff0c;来运行.net core程序&#xff0c;感兴趣的朋友可以看一下。今天向大家介绍.net core使用jexus服务器的…

【结论】棋盘(jzoj 2297)

棋盘 jzoj 2297 题目大意&#xff1a; 在棋盘上有一个特殊的象&#xff0c;他可以向四个方向行走若干步&#xff08;左上&#xff0c;左下&#xff0c;右上&#xff0c;右下&#xff09;&#xff0c;现在问从某一个点是否能到另外一个点 输入样例 5 1 1 2 2 2 3 2 2 1 2 4…

RRRR_wys' Blog 3.0 准备上线啦!

RRRR_wys Blog 3.0 准备上线啦&#xff01; 今年马上要过完啦&#xff0c;打算在年前把博客翻翻新之前的布局太复杂了&#xff0c;感觉很视觉疲劳&#xff0c;这一版我打算能删就删完善了\(markdown\)还有一些地方要修&#xff0c;放假再说辣在vj上交了道cf&#xff0c;有惊喜 …

WebApiClient的JsonPatch局部更新

1. 文章目的随着WebApiClient的不断完善&#xff0c;越来越多开发者选择WebApiClient替换原生的HttpClient&#xff0c;本文将介绍使用WebApiClient来完成JsonPatch提交的新特性。2. json patch介绍在服务端WebApi开发的时候&#xff0c;如果设计一个更新登录用户的个人信息的接…

【bfs】神殿(jzoj 2296)

神殿 jzoj 2296 题目大意&#xff1a; 用一个n∗mn*mn∗m的矩阵&#xff0c;每个单位都是一个1∗11*11∗1的房间&#xff0c;房间的四个方向只有某些方向有门&#xff08;说明如下图&#xff09;&#xff0c;要从一个房间走向相邻的房间&#xff08;算一个单位时间&#xff…

如何在本地数据中心安装Service Fabric for Windows集群

概述首先本文只是对官方文档&#xff08;中文&#xff0c;英文&#xff09;的一个提炼&#xff0c;详细的安装说明还请仔细阅读官方文档。虽然Service Fabric的官方名称往往被加上Azure&#xff0c;但是实际上&#xff08;估计很多人不知道&#xff09;Service Fabric可以安装到…

Asp.Net Core实战

序言使用.NET Core&#xff0c;团队可以更容易专注的在.net core上工作。比如核心类库&#xff08;如System.Collections&#xff09;的更改仍然需要与.NET Framework相同的活力&#xff0c;但是ASP.NET Core或Entity Framework Core可以更轻松地进行实质性更改&#xff0c;而不…

DFS序讲解

我们经常会遇到树的问题&#xff0c;但树是非线性的结构&#xff0c;操作起来始终还是麻烦&#xff0c;如果我们能把树改造成线性结构&#xff0c;有什么方法&#xff1f;对&#xff0c;就是今天要讲的DSF序&#xff1b; dfs序呢&#xff0c;就是把一棵树区间化&#xff0c;我们…

利用Asp.Net Core的MiddleWare思想处理复杂业务流程

最近利用Asp.Net Core 的MiddleWare思想对公司的古老代码进行重构&#xff0c;在这里把我的设计思路分享出来&#xff0c;希望对大家处理复杂的流程业务能有所帮助。背景一个流程初始化接口&#xff0c;接口中根据传入的流程类型&#xff0c;需要做一些不同的工作。1.有的工作是…

F# 4.5提供Spans、Match!等特性

F# 4.5预览版现已发布&#xff0c;其中提供了一系列新特性&#xff0c;包括对.NET Core 2.1的新原生类型Span<T>的支持、新关键字Match!等。类型Span意在实现底层代码指针操作的安全性和可预测性&#xff0c;这可使得很多情况下不必再分配内存&#xff0c;进而改进了内存…

Abp + Grpc 如何实现用户会话状态传递

0.背景在实际项目当中&#xff0c;我采用的是 Abp 框架&#xff0c;但是 Abp 框架官方并没有针对 Grpc 进行模块封装。基于此我结合 Abp 与 MagicOnion 封装了一个 Abp.Grpc 模块&#xff0c;它包括服务端和调用端两部分的包。通过这两个包&#xff0c;你可以很方便地在 Abp 框…

恢复数列

题目链接 比赛链接 时间限制&#xff1a;C/C 1秒&#xff0c;其他语言2秒 空间限制&#xff1a;C/C 262144K&#xff0c;其他语言524288K Special Judge,64bit IO Format: %lld 题目描述 小y的数学作业不小心被泼上了墨水。有道题看不清了&#xff0c;现在他想请你帮他恢复这道…

【翻译】asp.net core中使用MediatR

这篇文章来自&#xff1a;https://ardalis.com/using-mediatr-in-aspnet-core-apps本文作为翻译&#xff0c;有一些单词翻译成中文可能会有一些误解&#xff08;对于读者&#xff09;或者错误&#xff08;对于作者&#xff09;的地方&#xff0c;所以在文章中你可以看到一些单词…

数论杂谈(欧拉定理与费马小定理结论与应用)

文章目录欧拉定理&#xff1a;欧拉定理性质&#xff1a;扩展欧拉定理&#xff1a;费马小定理&#xff1a;指数循环节费马大定理逆元&#xff1a;例题原根定义&#xff1a;原根存在条件例题快速幂代码矩阵快速幂原理&#xff1a;代码&#xff1a;欧拉定理&#xff1a; aφ(n)≡…