我們?cè)凇禔SP.NET Core項(xiàng)目實(shí)戰(zhàn)的課程》第一章里面給identity server4做了一個(gè)全面的介紹和示例的練習(xí) ，這篇文章是根據(jù)大家對(duì)OIDC遇到的一些常見問題整理得出。

本文將涉及到以下幾個(gè)話題：

• 什么是OpenId Connect (OIDC)

• OIDC 對(duì)oAuth進(jìn)行了哪些擴(kuò)展？

• Identity Server4提供的OIDC認(rèn)證服務(wù)（服務(wù)端）

• ASP.NET Core的權(quán)限體系中的OIDC認(rèn)證框架（客戶端）

什么是 OIDC

在了解OIDC之前，我們先看一個(gè)很常見的場景。假使我們現(xiàn)在有一個(gè)網(wǎng)站要集成微信或者新浪微博的登錄，兩者現(xiàn)在依然采用的是oAuth 2.0的協(xié)議來實(shí)現(xiàn) 。 關(guān)于微信和新浪微博的登錄大家可以去看看它們的開發(fā)文檔。

在我們的網(wǎng)站集成微博或者新浪微博的過程大致是分為五步：

準(zhǔn)備工作：在微信/新浪微博開發(fā)平臺(tái)注冊(cè)一個(gè)應(yīng)用，得到AppId和AppSecret

發(fā)起 oAauth2.0 中的 Authorization Code流程請(qǐng)求Code

根據(jù)Code再請(qǐng)求AccessToken（通常在我們應(yīng)用的后端完成，用戶不可見）

根據(jù) AccessToken 訪問微信/新浪微博的某一個(gè)API，來獲取用戶的信息

后置工作：根據(jù)用戶信息來判斷是否之前登錄過？如果沒有則創(chuàng)建一個(gè)用戶并將這個(gè)用戶作為當(dāng)前用戶登錄（我們自己應(yīng)用的登錄邏輯，比如生成jwt），如果有了則用之前的用戶登錄。

中間第2到3的步驟為標(biāo)準(zhǔn)的oAuth2 授權(quán)碼模式的流程，如果不理解的可以參考阮一峰所寫的《理解oAuth2.0?》一文。我們主要來看第4和5步，對(duì)于第三方應(yīng)用要集成微博登錄這個(gè)場景來說最重要的是我希望能快速拿到用戶的一些基本信息（免去用戶再次輸入的麻煩）然后根據(jù)這些信息來生成一個(gè)我自己的用戶跟微博的用戶Id綁定（為的是下次你使用微博登錄的時(shí)候我還能把你再找出來）。

oAuth在這里麻煩的地方是我還需要再請(qǐng)求一次API去獲取用戶數(shù)據(jù)，注意這個(gè)API和登錄流程是不相干的，其實(shí)是屬于微博開放平臺(tái)叢多API中的一個(gè)，包括微信開放平臺(tái)也是這樣來實(shí)現(xiàn)。這里有個(gè)問題是前面的 2和3是oAuth2的標(biāo)準(zhǔn)化流程，而第4步卻不是，但是大家都這么干（它是一個(gè)大家都默許的標(biāo)準(zhǔn)）

于是大家干脆就建立了一套標(biāo)準(zhǔn)協(xié)議并進(jìn)行了一些優(yōu)化，它叫OIDC

OIDC 建立在oAuth2.0協(xié)議之上，允許客戶端(Clients)通過一個(gè)授權(quán)服務(wù)(Authorization Server)來完成對(duì)用戶認(rèn)證的過程，并且可以得到用戶的一些基本信息包含在JWT中。

OIDC對(duì)oAuth進(jìn)行了哪些擴(kuò)展？

在oAuth2.0授權(quán)碼模式的幫助下，我們拿到了用戶信息。

以上沒有認(rèn)證的過程，只是給我們的應(yīng)用授權(quán)訪問一個(gè)API的權(quán)限，我們通過這個(gè)API去獲取當(dāng)前用戶的信息，這些都是通過oAuth2的授權(quán)碼模式完成的。 我們來看看oAuth2 授權(quán)碼模式的流程：

第一步，我們向authorize endpoint請(qǐng)求code的時(shí)候所傳遞的response_type表示授權(quán)類型，原來只有固定值code

GET /connect/authorize?response_type=code&client_id=postman&state=xyz&scope=api1&redirect_uri=http://localhost:5001/oauth2/callback

第二步，上面的請(qǐng)求執(zhí)行完成之后會(huì)返回301跳轉(zhuǎn)至我們傳過去的redirect_uri并帶上code

https://localhost:5001/oauth2/callback?code=835d584d4bc96d46ce49e27ebdbf272e40234d5f31097f63163f17da61fcd01c &scope=api1 &state=111271607

　　

第三步，用code換取access token

POST /connect/token?grant_type=authorization_code&code=835d584d4bc96d46ce49e27ebdbf272e40234d5f31097f63163f17da61fcd01c &redirect_uri=http://localhost:5001/oauth2/callback &client_id=postman &client_secret=secret

　　

通過這個(gè)POST我們就可以得到access_token

{"access_token": "eyJhbGciOiJSUzI1NiIsImtpZCI6IjV","expires_in": 3600,"token_type": "Bearer" }

　　

我們拿到access_token之后，再把a(bǔ)ccess_token放到authorization頭請(qǐng)求 api來獲取用戶的信息。在這里，這個(gè)api不是屬于授權(quán)服務(wù)器提供的，而是屬于資源服務(wù)器。

OIDC給oAuth2進(jìn)行擴(kuò)展之后就填補(bǔ)了這個(gè)空白，讓我們可以授權(quán)它添加了以下兩個(gè)內(nèi)容：

• response_type 添加IdToken
• 添加userinfo endpoint，用idToken可以獲取用戶信息

OIDC對(duì)它進(jìn)行了擴(kuò)展，現(xiàn)在你有三個(gè)選擇：code, id_token和 token，現(xiàn)在我們可以這樣組合來使用。

"response_type" valueFlow

code	Authorization Code Flow
id_token	Implicit Flow
id_token token	Implicit Flow
code id_token	Hybrid Flow
code token	Hybrid Flow
code id_token token	Hybrid Flow

我們簡單的來理解一下這三種模式：

• Authorization Code Flow授權(quán)碼模式：保留oAuth2下的授權(quán)模式不變r(jià)esponse_type=code

• Implicit Flow 隱式模式：在oAuth2下也有這個(gè)模式，主要用于客戶端直接可以向授權(quán)服務(wù)器獲取token，跳過中間獲取code用code換accesstoken的這一步。在OIDC下，responsetype=token idtoken，也就是可以同時(shí)返回access_token和id_token。

• Hybrid Flow 混合模式： 比較有典型的地方是從authorize endpoint 獲取 code idtoken，這個(gè)時(shí)候id_token可以當(dāng)成認(rèn)證。而可以繼續(xù)用code獲取access_token去做授權(quán)，比隱式模式更安全。

  再來詳細(xì)看一下這三種模式的差異：

PropertyAuthorization Code FlowImplicit FlowHybrid Flow

access token和id token都通過Authorization endpoint返回	no	yes	no
兩個(gè)token都通過token end point 返回	yes	no	no
用戶使用的端(瀏覽器或者手機(jī)）無法查看token	yes	no	no
Client can be authenticated	yes	no	yes
支持刷新token	yes	no	yes
不需要后端參與	no	yes	no
?	?	?	?

我們來看一下通過Hybird如何獲取 code、id_token、_以及access_token，然后再用id_token向userinfo endpoint請(qǐng)求用戶信息。

第一步：獲取code，

• response_type=code id_token
• scope=api1 openid profile 其中openid即為用戶的唯一識(shí)別號(hào)

GET /connect/authorize?response_type=code id_token&client_id=postman&state=xyz&scope=api1 openid profile &nonce=7362CAEA-9CA5-4B43-9BA3-34D7C303EBA7&redirect_uri=http://localhost:5001/oauth2/callback

當(dāng)我們使用OIDC的時(shí)候，我們請(qǐng)求里面多了一個(gè)nonce的參數(shù)，與state有異曲同工之妙。我們給它一個(gè)guid值即可。

第二步：我們的redirect_uri在接收的時(shí)候即可以拿到code 和 id_token

https://localhost:5001/oauth2/callback# code=c5eaaaca8d4538f69f670a900d7a4fa1d1300b26ec67fba2f84129f0ab4ffa35 &id_token=eyJhbGciOiJSUzI1NiIsImtpZCI6IjVjMzA5ZGIwYTE2OGEwOTgGtpbj0GVXNnkKhGdrzA &scope=openid%20profile%20api1&state=111271607

　　

第三步：用code換access_token(這一步與oAuth2中的授權(quán)碼模式一致）

第四步：用access_token向userinfo endpoint獲取用戶資料

Get http://localhost:5000/connect/userinfo Authorization Bearer access_token

　　

返回的用戶信息

{"name": "scott","family_name": "liu","sub": "5BE86359-073C-434B-AD2D-A3932222DABE" }

　　

以下是我們的流程示意圖。

有人可能會(huì)注意到，在這里我們拿到的idtoken沒有派上用場，我們的用戶資料還是通過access_token從userinfo endpoint里拿的。這里有兩個(gè)區(qū)別：

userinfo endpoint是屬于認(rèn)證服務(wù)器實(shí)現(xiàn)的，并非資源服務(wù)器，有歸屬的區(qū)別

id_token 是一個(gè)jwt，里面帶有用戶的唯一標(biāo)識(shí)，我們?cè)谂袛嘣撚脩粢呀?jīng)存在的時(shí)候不需要再請(qǐng)求userinfo endpoint

下圖是對(duì)id_token進(jìn)行解析得到的信息：sub即subject_id(用戶唯一標(biāo)識(shí) )

對(duì)jwt了解的同學(xué)知道它里面本身就可以存儲(chǔ)用戶的信息，那么id_token可以嗎？答案當(dāng)然是可以的，我們將在介紹完identity server4的集成之后最后來實(shí)現(xiàn)。

Identity Server4提供的OIDC認(rèn)證服務(wù)

Identity Server4是asp.net core2.0實(shí)現(xiàn)的一套o(hù)Auth2 和OIDC框架，用它我們可以很快速的搭建一套自己的認(rèn)證和授權(quán)服務(wù)。我們來看一下用它如何快速實(shí)現(xiàn)OIDC認(rèn)證服務(wù)。

由于用戶登錄代碼過多，完整代碼可以加入ASP.NET Core QQ群 92436737獲取。 此處僅展示配置核心代碼。

過程

• 新建asp.net core web應(yīng)用程序
• 添加identityserver4 nuget引用
• 依賴注入初始化

services.AddIdentityServer().AddDeveloperSigningCredential().AddInMemoryIdentityResources(Config.GetIdentityResources()).AddInMemoryApiResources(Config.GetApiResources()).AddInMemoryClients(Config.GetClients()).AddTestUsers(Config.GetTestUsers());

• 中間件添加

app.UseIdentityServer();

• 配置

在測試的時(shí)候我們新建一個(gè)Config.cs來放一些配置信息

api resources

public static IEnumerable<ApiResource> GetApiResources(){return new List<ApiResource>{new ApiResource("api1", "API Application"){UserClaims = { "role", JwtClaimTypes.Role }}};}

identity resources

public static IEnumerable<ApiResource> GetApiResources(){return new List<ApiResource>{new ApiResource("api1", "API Application"){UserClaims = { "role", JwtClaimTypes.Role }}};}

?

clients

我們要講的關(guān)鍵信息在這里，client有一個(gè)AllowGrantTypes它是一個(gè)string的集合。我們要寫進(jìn)去的值就是我們?cè)谏弦还?jié)講三種模式: Code，Implict和Hybird。因?yàn)檫@三種模式?jīng)Q定了我們的response_type可以請(qǐng)求哪幾個(gè)值，所以這個(gè)地方一定不能寫錯(cuò)。

IdentityServer4.Models.GrantTypes這個(gè)枚舉給我們提供了一些選項(xiàng)，實(shí)際上是把oAuth的4種和OIDC的3種進(jìn)行了組保。

public static IEnumerable<Client> GetClients(){return new List<Client>{new Client{ClientId = "postman",AllowedGrantTypes = GrantTypes.Hybird,RedirectUris = { "https://localhost:5001/oauth2/callback" },ClientSecrets ={new Secret("secret".Sha256())},AllowedScopes = new List<string>{IdentityServerConstants.StandardScopes.OpenId,IdentityServerConstants.StandardScopes.Profile,"api1"},AllowOfflineAccess=true,},};}

?

users

public static List<TestUser> GetTestUsers(){return new List<TestUser> {new TestUser {SubjectId = "5BE86359-073C-434B-AD2D-A3932222DABE",Username = "scott",Password = "password",Claims = new List<Claim> {new Claim(JwtClaimTypes.Name, "scott"),new Claim(JwtClaimTypes.FamilyName, "liu"),new Claim(JwtClaimTypes.Email, "scott@scottbrady91.com"),new Claim(JwtClaimTypes.Role, "user"),}}};}

?

ASP.NET Core的權(quán)限體系中的OIDC認(rèn)證框架

在Microsoft.AspNetCore.All nuget引用中包含了Microsoft.AspNetCore.Authentication.OpenIdConnect即asp.net core OIDC的客戶端。我們需要在依賴注入中添加以下配置：

services.AddAuthentication(options =>{options.DefaultScheme = "Cookies";options.DefaultChallengeScheme = "oidc";}).AddCookie("Cookies").AddOpenIdConnect("oidc", options =>{options.SignInScheme = "Cookies";options.Authority = "http://localhost:5000";options.RequireHttpsMetadata = false;options.ClientId = "postman";options.ClientSecret = "secret";options.ResponseType = "code id_token";options.GetClaimsFromUserInfoEndpoint = true;options.Scope.Add("api1");options.Scope.Add("offline_access");});

?

Authority即我們的用identity server4搭建的認(rèn)證授權(quán)服務(wù)器，而其中的GetClaimsFromUserInfoEndpoint則會(huì)在拿到id_token之后自動(dòng)向userinfo endpoint請(qǐng)求用戶信息并放到asp.net core的User Identity下。

我們上面講過，可以不需要請(qǐng)求userinfo endpoint, 直接將用戶信息放到id_token中。

這樣我們就不需要再向userinfo endpoint發(fā)起請(qǐng)求，從id_token中即可以獲取到用戶的信息。而有了identity server4的幫助，完成這一步只需要一句簡單的配置即可：

new Client {ClientId = "postman",AlwaysIncludeUserClaimsInIdToken = true,AllowOfflineAccess=true, }

?這樣我們?cè)谀玫絠d_token之后，里即包含了我們的用戶信息。

?

?

資料：

曉晨master的identity server4中文文檔 ?http://www.cnblogs.com/stulzq/p/8119928.html
李念輝身份認(rèn)證核心: https://www.cnblogs.com/linianhui/archive/2017/05/30/openid-connect-core.html
OIDC協(xié)議： http://openid.net/specs/openid-connect-discovery-1_0.html
Jesse騰飛的asp.net core項(xiàng)目實(shí)戰(zhàn)第一章identity server4準(zhǔn)備 http://video.jessetalk.cn/course/5

?

?

轉(zhuǎn)載于:https://www.cnblogs.com/jesse2013/p/oidc-in-aspnetcore-with-identity-server.html

《新程序員》：云原生和全面數(shù)字化實(shí)踐50位技術(shù)專家共同創(chuàng)作，文字、視頻、音頻交互閱讀

總結(jié)

以上是生活随笔為你收集整理的Open ID Connect(OIDC)在 ASP.NET Core中的应用的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。