IdentityServer4 知多少 原文:IdentityServer4 知多少

1. 引言

現(xiàn)在的應(yīng)用開發(fā)層出不窮，基于瀏覽器的網(wǎng)頁應(yīng)用，基于微信的公眾號、小程序，基于IOS、Android的App，基于Windows系統(tǒng)的桌面應(yīng)用和UWP應(yīng)用等等，這么多種類的應(yīng)用，就給應(yīng)用的開發(fā)帶來的挑戰(zhàn)，我們除了分別實(shí)現(xiàn)各個應(yīng)用外，我們還要考慮各個應(yīng)用之間的交互，通用模塊的提煉，其中身份的認(rèn)證和授權(quán)就是每個應(yīng)用必不可少的的一部分。而現(xiàn)在的互聯(lián)網(wǎng)，對于信息安全要求又十分苛刻，所以一套統(tǒng)一的身份認(rèn)證和授權(quán)就至關(guān)重要。

IdentityServer4就是這樣一個框架，IdentityServer4是為ASP.NET CORE量身定制的實(shí)現(xiàn)了OpenId Connect和OAuth2.0協(xié)議的認(rèn)證授權(quán)中間件。

下面我們就來介紹一下相關(guān)概念，并梳理下如何集成IdentityServer4。
也可瀏覽自行整理的IdentityServer4 百度腦圖快速了解。

2. OAuth2.0 && OpenId Connect

2.1. OpenId

OpenID 是一個以用戶為中心的數(shù)字身份識別框架，它具有開放、分散性。OpenID 的創(chuàng)建基于這樣一個概念：我們可以通過 URI （又叫 URL 或網(wǎng)站地址）來認(rèn)證一個網(wǎng)站的唯一身份，同理，我們也可以通過這種方式來作為用戶的身份認(rèn)證。

簡而言之：OpenId用于身份認(rèn)證（Authentication）。

2.2. OAuth 2.0

OAuth（開放授權(quán)）是一個開放標(biāo)準(zhǔn)，目前的版本是2.0。允許用戶授權(quán)第三方移動應(yīng)用訪問他們存儲在其他服務(wù)商上存儲的私密的資源（如照片，視頻，聯(lián)系人列表），而無需將用戶名和密碼提供給第三方應(yīng)用。
OAuth允許用戶提供一個令牌而不是用戶名和密碼來訪問他們存放在特定服務(wù)商上的數(shù)據(jù)。每一個令牌授權(quán)一個特定的網(wǎng)站內(nèi)訪問特定的資源（例如僅僅是某一相冊中的視頻）。這樣，OAuth可以允許用戶授權(quán)第三方網(wǎng)站訪問他們存儲在另外服務(wù)提供者的某些特定信息，而非所有內(nèi)容。
OAuth是OpenID的一個補(bǔ)充，但是完全不同的服務(wù)。

簡而言之：OAuth2.0 用于授權(quán)（Authorization）。關(guān)于OAuth2.0也可參考我的另一篇博文OAuth2.0 知多少。

2.3. OpenId Connect

OpenID Connect 1.0 是基于OAuth 2.0協(xié)議之上的簡單身份層，它允許客戶端根據(jù)授權(quán)服務(wù)器的認(rèn)證結(jié)果最終確認(rèn)終端用戶的身份，以及獲取基本的用戶信息；它支持包括Web、移動、JavaScript在內(nèi)的所有客戶端類型去請求和接收終端用戶信息和身份認(rèn)證會話信息；它是可擴(kuò)展的協(xié)議，允許你使用某些可選功能，如身份數(shù)據(jù)加密、OpenID提供商發(fā)現(xiàn)、會話管理等。

簡而言之：OpenId Connect = OIDC = Authentication + Authorization + OAuth2.0。

比如，Facebook、Google、QQ、微博都是比較知名的OpenId Connect提供商。

3. 術(shù)語解釋

了解完OpenId Connect和OAuth2.0的基本概念，我們再來梳理下涉及到的相關(guān)術(shù)語：

User：用戶

Client：客戶端

Resources：Identity Data（身份數(shù)據(jù)）、Apis

Identity Server：認(rèn)證授權(quán)服務(wù)器

Token：Access Token（訪問令牌）和 Identity Token（身份令牌）

4. JwtBearer 認(rèn)證

4.1. HTTP身份驗證流程

HTTP提供了一套標(biāo)準(zhǔn)的身份驗證框架：服務(wù)器可以用來針對客戶端的請求發(fā)送質(zhì)詢(challenge)，客戶端根據(jù)質(zhì)詢提供身份驗證憑證。質(zhì)詢與應(yīng)答的工作流程如下：服務(wù)器端向客戶端返回401（Unauthorized，未授權(quán)）狀態(tài)碼，并在WWW-Authenticate頭中添加如何進(jìn)行驗證的信息，其中至少包含有一種質(zhì)詢方式。然后客戶端可以在請求中添加Authorization頭進(jìn)行驗證，其Value為身份驗證的憑證信息。

Bearer認(rèn)證（也叫做令牌認(rèn)證）是一種HTTP認(rèn)證方案，其中包含的安全令牌的叫做Bearer Token。因此Bearer認(rèn)證的核心是Token。那如何確保Token的安全是重中之重。一種方式是使用Https，另一種方式就是對Token進(jìn)行加密簽名。而JWT就是一種比較流行的Token編碼方式。

4.2. JWT（Json Web Token)

Json web token (JWT), 是為了在網(wǎng)絡(luò)應(yīng)用環(huán)境間傳遞聲明而執(zhí)行的一種基于JSON的開放標(biāo)準(zhǔn)（RFC 7519）。該token被設(shè)計為緊湊且安全的，特別適用于分布式站點(diǎn)的單點(diǎn)登錄（SSO）場景。JWT的聲明一般被用來在身份提供者和服務(wù)提供者間傳遞被認(rèn)證的用戶身份信息，以便于從資源服務(wù)器獲取資源，也可以增加一些額外的其它業(yè)務(wù)邏輯所必須的聲明信息，該token也可直接被用于認(rèn)證，也可被加密。

JWT有三部分組成：
<header>.<payload>.<signature>

Header：由alg和typ組成，alg是algorithm的縮寫，typ是type的縮寫，指定token的類型。該部分使用Base64Url編碼。

Payload：主要用來存儲信息，包含各種聲明，同樣該部分也由BaseURL編碼。

Signature：簽名，使用服務(wù)器端的密鑰進(jìn)行簽名。以確保Token未被篡改。

HMACSHA256(base64UrlEncode(header) + "." +base64UrlEncode(payload),secret)

5. 授權(quán)模式

OAuth2.0 定義了四種授權(quán)模式：

Implicit：簡化模式；直接通過瀏覽器的鏈接跳轉(zhuǎn)申請令牌。

Client Credentials：客戶端憑證模式；該方法通常用于服務(wù)器之間的通訊；該模式僅發(fā)生在Client與Identity Server之間。

Resource Owner Password Credentials：密碼模式

Authorization Code：授權(quán)碼模式；

5.1. Client Credentials

客戶端憑證模式，是最簡單的授權(quán)模式，因為授權(quán)的流程僅發(fā)生在Client與Identity Server之間。

該模式的適用場景為服務(wù)器與服務(wù)器之間的通信。比如對于一個電子商務(wù)網(wǎng)站，將訂單和物流系統(tǒng)分拆為兩個服務(wù)分別部署。訂單系統(tǒng)需要訪問物流系統(tǒng)進(jìn)行物流信息的跟蹤，物流系統(tǒng)需要訪問訂單系統(tǒng)的快遞單號信息進(jìn)行物流信息的定時刷新。而這兩個系統(tǒng)之間服務(wù)的授權(quán)就可以通過這種模式來實(shí)現(xiàn)。

5.2. Resource Owner Password Credentials

Resource Owner其實(shí)就是User，所以可以直譯為用戶名密碼模式。密碼模式相較于客戶端憑證模式，多了一個參與者，就是User。通過User的用戶名和密碼向Identity Server申請訪問令牌。這種模式下要求客戶端不得儲存密碼。但我們并不能確保客戶端是否儲存了密碼，所以該模式僅適用于受信任的客戶端。否則會發(fā)生密碼泄露的危險。該模式不推薦使用。

5.3. Authorization Code

授權(quán)碼模式是一種混合模式，是目前功能最完整、流程最嚴(yán)密的授權(quán)模式。它主要分為兩大步驟：認(rèn)證和授權(quán)。
其流程為：

用戶訪問客戶端，客戶端將用戶導(dǎo)向Identity Server。

用戶填寫憑證信息向客戶端授權(quán)，認(rèn)證服務(wù)器根據(jù)客戶端指定的重定向URI，并返回一個【Authorization Code】給客戶端。

客戶端根據(jù)【Authorization Code】向Identity Server申請【Access Token】

5.4. Implicit

簡化模式是相對于授權(quán)碼模式而言的。其不再需要【Client】的參與，所有的認(rèn)證和授權(quán)都是通過瀏覽器來完成的。

6. IdentityServer4 集成

通過以上知識點(diǎn)的梳理，我們對OpenId Connect 和OAuth2.0的一些相關(guān)概念有了大致認(rèn)識。而IdentityServer4是為ASP.NET CORE量身定制的實(shí)現(xiàn)了OpenId Connect和OAuth2.0協(xié)議的認(rèn)證授權(quán)中間件。
所以自然而然我們對IdentityServer4有了基礎(chǔ)的認(rèn)識。下面就來介紹如何集成IdentityServer4。其主要分為三步：

IdentityServer如何配置和啟用IdentityServer中間件

Resources如何配置和啟用認(rèn)證授權(quán)中間件

Client如何認(rèn)證和授權(quán)

6.1. Identity Server 中間件的配置和啟用

作為一個獨(dú)立的Identity Server，它必須知道哪些資源需要保護(hù)，必須知道哪些客戶端能夠允許訪問，這是配置的基礎(chǔ)。
所以IdentityServer中間件的配置的核心就是：

配置受保護(hù)的資源列表

配置允許驗證的Client

public class Startup {public void ConfigureServices(IServiceCollection services){services.AddMvc();// configure identity server with in-memory stores, keys, clients and scopesservices.AddIdentityServer().AddDeveloperSigningCredential()//配置身份資源.AddInMemoryIdentityResources(Config.GetIdentityResources())//配置API資源.AddInMemoryApiResources(Config.GetApiResources())//預(yù)置允許驗證的Client.AddInMemoryClients(Config.GetClients()).AddTestUsers(Config.GetUsers());services.AddAuthentication()//添加Google第三方身份認(rèn)證服務(wù)（按需添加）.AddGoogle("Google", options =>{options.SignInScheme = IdentityServerConstants.ExternalCookieAuthenticationScheme;options.ClientId = "434483408261-55tc8n0cs4ff1fe21ea8df2o443v2iuc.apps.googleusercontent.com";options.ClientSecret = "3gcoTrEDPPJ0ukn_aYYT6PWo";})//如果當(dāng)前IdentityServer不提供身份認(rèn)證服務(wù)，還可以添加其他身份認(rèn)證服 務(wù)提供商.AddOpenIdConnect("oidc", "OpenID Connect", options =>{options.SignInScheme = IdentityServerConstants.ExternalCookieAuthenticationScheme;options.SignOutScheme = IdentityServerConstants.SignoutScheme;options.Authority = "https://demo.identityserver.io/";options.ClientId = "implicit";options.TokenValidationParameters = new TokenValidationParameters{NameClaimType = "name",RoleClaimType = "role"};});}public void Configure(IApplicationBuilder app, IHostingEnvironment env){if (env.IsDevelopment()){app.UseDeveloperExceptionPage();}//添加IdentityServer中間件到Pipelineapp.UseIdentityServer();app.UseStaticFiles();app.UseMvcWithDefaultRoute();}

配置完，添加IdentityServer到Pipeline即可。

如果要支持第三方登錄服務(wù)或自己實(shí)現(xiàn)的OpenId Connect服務(wù)，則需要額外配置下身份認(rèn)證中間件。

6.2. Resources的保護(hù)配置

配置完Identity Server，接下來我們該思考如何來保護(hù)Resources，以及如何將所有的認(rèn)證和授權(quán)請求導(dǎo)流到Identity Server呢？
在此之前，我們還是要梳理下Client訪問Resources的請求順序：

Client請求資源，資源如果需要進(jìn)行身份認(rèn)證和授權(quán)，則將請求導(dǎo)流到Identity Server。

Identity Server根據(jù)Client配置的授權(quán)類型，返回【Token】。

Client要能夠驗證【Token】的正確性。

所以針對要保護(hù)的資源，我們需要以下配置：

指定資源是否需要保護(hù)；

指定IdentityServer用來進(jìn)行認(rèn)證和授權(quán)跳轉(zhuǎn)；

Client攜帶【Token】請求資源。

受保護(hù)的資源服務(wù)器要能夠驗證【Token】的正確性。

代碼示例：

//使用[Authorize]特性，來顯式指定受保護(hù)的資源 [Route("[controller]")] [Authorize] public class IdentityController : ControllerBase {[HttpGet]public IActionResult Get(){return new JsonResult(from c in User.Claims select new { c.Type, c.Value });} } public class Startup {public void ConfigureServices(IServiceCollection services){services.AddMvcCore().AddAuthorization().AddJsonFormatters();//指定認(rèn)證方案services.AddAuthentication("Bearer")//添加Token驗證服務(wù)到DI.AddIdentityServerAuthentication(options =>{//指定授權(quán)地址options.Authority = "http://localhost:5000";options.RequireHttpsMetadata = false;options.ApiName = "api1";});}public void Configure(IApplicationBuilder app){//添加認(rèn)證中間件到Pipelineapp.UseAuthentication();app.UseMvc();} }

6.3. Client的請求配置

資源和認(rèn)證服務(wù)器都配置完畢，接下來客戶端就可以直接訪問了。
如果針對控制臺客戶端應(yīng)用，三步走就可以訪問Api：

使用DiscoverClient發(fā)現(xiàn)Token Endpoint

使用TokenClient請求Access Token

使用HttpClient訪問Api
代碼示例如下：

// discover endpoints from metadata var disco = await DiscoveryClient.GetAsync("http://localhost:5000"); // request token（使用的是ClientCredentials授權(quán)類型） var tokenClient = new TokenClient(disco.TokenEndpoint, "client", "secret"); var tokenResponse = await tokenClient.RequestClientCredentialsAsync("api1") if (tokenResponse.IsError) {Console.WriteLine(tokenResponse.Error);return; } Console.WriteLine(tokenResponse.Json); Console.WriteLine("\n\n"); // call api var client = new HttpClient(); client.SetBearerToken(tokenResponse.AccessToken);

如果針對ASP.NET Web控制臺客戶端，我們先來回答一個問題：

如果Web應(yīng)用是否需要登錄？

如果需要登錄，就需要進(jìn)行身份認(rèn)證。

身份認(rèn)證成功后，也就需要會話狀態(tài)的維持。

回答完上面的問題，我們也就梳理出了配置要點(diǎn)：

添加身份認(rèn)證中間件

啟用Cookie進(jìn)行會話保持

添加OIDC，使用我們自己定義的IdentityServer提供的認(rèn)證服務(wù)

public void ConfigureServices(IServiceCollection services) {services.AddMvc();JwtSecurityTokenHandler.DefaultInboundClaimTypeMap.Clear();services.AddAuthentication(options =>{options.DefaultScheme = "Cookies";options.DefaultChallengeScheme = "oidc";}).AddCookie("Cookies").AddOpenIdConnect("oidc", options =>{options.SignInScheme = "Cookies";options.Authority = "http://localhost:5000";options.RequireHttpsMetadata = false;options.ClientId = "mvc";options.SaveTokens = true;}); } public void Configure(IApplicationBuilder app, IHostingEnvironment env {if (env.IsDevelopment()){app.UseDeveloperExceptionPage();}else{app.UseExceptionHandler("/Home/Error");}app.UseAuthentication();app.UseStaticFiles();app.UseMvcWithDefaultRoute(); }

7. 最后

本文通過介紹IdentityServer4涉及到的術(shù)語和相關(guān)概念，再結(jié)合官方實(shí)例，梳理了集成IdentityServer4的大致思路。而關(guān)于如何與ASP.NET Identity、EF Core集成，本文并未涉及，詳參官方文檔。

Identity Server 官方文檔
dentityServer4 中文文檔與實(shí)戰(zhàn)
ASP.NET Core 認(rèn)證與授權(quán)[4]:JwtBearer認(rèn)證
Bearer Authentication
JSON Web Token
理解OAuth 2.0
Identity Server 授權(quán)類型

posted on 2018-12-25 11:01 NET未來之路 閱讀(...) 評論(...) 編輯 收藏

轉(zhuǎn)載于:https://www.cnblogs.com/lonelyxmas/p/10172743.html

總結(jié)

以上是生活随笔為你收集整理的IdentityServer4 知多少的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。