一、前言

查閱了大多數(shù)相關(guān)資料，搜索到的IdentityServer4 的應(yīng)用文章大多是比較簡單并且多是翻譯官網(wǎng)的文檔編寫的，我這里在 Asp.Net Core 中IdentityServer4 的應(yīng)用分析中會以一個電商系統(tǒng)架構(gòu)升級過程中普遍會遇到的場景進行實戰(zhàn)性講述分析，同時最后會把我的實戰(zhàn)性的代碼放到github 上，敬請大家關(guān)注！

這里就直接開始擼代碼，概念性東西就已經(jīng)不概述了，想要了解概念推薦大家查看我之前的文章和官方文檔：

• Asp.Net Core IdentityServer4 中的基本概念

• IdentityServer4 官方文檔

二、應(yīng)用實戰(zhàn)

2.1 模擬場景

最初小團隊的電商系統(tǒng)場景如下圖：

這張架構(gòu)圖缺點：

?發(fā)布頻繁，發(fā)布影響整個電商系統(tǒng)?很難做到敏捷開發(fā)?維護性可能會存在一定的弊端，主要看內(nèi)部架構(gòu)情況。

大多數(shù)小電商團隊對于多客戶端登錄授權(quán)來說可能已經(jīng)實現(xiàn)了Oauth 2.0 的身份授權(quán)驗證，但是是和電商業(yè)務(wù)集成在一個網(wǎng)關(guān)里面，這樣不是很好的方式；由于公司業(yè)務(wù)橫向擴大，產(chǎn)品經(jīng)理調(diào)研了代理商業(yè)務(wù)，最終讓技術(shù)開發(fā)代理商業(yè)務(wù)系統(tǒng)。架構(gòu)師出于后續(xù)發(fā)展的各方面考慮，把代理商業(yè)務(wù)單獨建立了一個獨立的網(wǎng)關(guān)，并且把授權(quán)服務(wù)一并給獨立出來，調(diào)整后的電商系統(tǒng)架構(gòu)圖如下：

身份授權(quán)從業(yè)務(wù)系統(tǒng)中拆分出來后，有了如下的優(yōu)勢：

?授權(quán)服務(wù)不受業(yè)務(wù)的影響，如果業(yè)務(wù)網(wǎng)關(guān)宕機了，那至少不會影響代理商網(wǎng)關(guān)的業(yè)務(wù)授權(quán)系統(tǒng)的使用?授權(quán)服務(wù)一旦建立，一般就很難進行升級，除非特殊情況。?在敏捷開發(fā)中，業(yè)務(wù)系統(tǒng)可能發(fā)布頻繁，電商業(yè)務(wù)系統(tǒng)可能每天都是在頻繁升級更新，這樣也不至于影響了授權(quán)系統(tǒng)服務(wù)導(dǎo)致代理商業(yè)務(wù)受到影響

代理商業(yè)務(wù)引入進來后，同時又增加了秒殺活動，發(fā)現(xiàn)成交量大大增大，支付訂單集中在某一時刻翻了十幾倍，這時候整個電商業(yè)務(wù)API網(wǎng)關(guān)已經(jīng)扛不住了，負載了幾臺可能也有點吃力；開發(fā)人員經(jīng)過跟架構(gòu)師一起討論，得出了扛不住的原因：主要是秒殺活動高并發(fā)的支付，以至于整個電商業(yè)務(wù)系統(tǒng)受到影響，故準備把支付系統(tǒng)從業(yè)務(wù)系統(tǒng)中拆分出成獨立的支付網(wǎng)關(guān)，并做了一定的負載，成功解決了以上問題，這時候整個電商系統(tǒng)架構(gòu)圖就演變成如下：

支付網(wǎng)關(guān)服務(wù)抽離后的優(yōu)勢：

?支付網(wǎng)關(guān)服務(wù)更新不會太頻繁，可以減少整個系統(tǒng)的因為發(fā)布導(dǎo)致的一系列問題，增強穩(wěn)定性?支付系統(tǒng)出現(xiàn)宕機不影響整個電商系統(tǒng)的使用，用戶還可以瀏覽商品等等其他操作，技術(shù)和運維人員也比較好排查定位問題所在；提升用戶體驗，同時提升排查問題的效率。授權(quán)中心：單獨一個服務(wù)網(wǎng)關(guān)，訪問支付業(yè)務(wù)網(wǎng)關(guān)、電商業(yè)務(wù)網(wǎng)關(guān)及代理商業(yè)務(wù)網(wǎng)關(guān)都需要先通過授權(quán)中心獲得授權(quán)拿到訪問令牌AccessToken?才能正常的訪問這些網(wǎng)關(guān)，這樣授權(quán)模塊就不會受任何的業(yè)務(wù)影響，同時各個業(yè)務(wù)網(wǎng)關(guān)也不需要寫同樣的授權(quán)業(yè)務(wù)的代碼；業(yè)務(wù)網(wǎng)關(guān)僅僅只需關(guān)注本身的業(yè)務(wù)即可，授權(quán)中心僅僅只需要關(guān)注維護授權(quán)；經(jīng)過這樣升級改造后整個系統(tǒng)維護性得到很大的提高，相關(guān)的業(yè)務(wù)也可以針對具體情況進行選擇性的擴容。

上面的電商網(wǎng)關(guān)演變架構(gòu)圖中我這里沒有畫出具體的請求流向，偷了個賴，這里還是先把OAuth2.0 的授權(quán)大體的流程圖單獨貼出來：

由于授權(quán)網(wǎng)關(guān)服務(wù)之前單獨抽離出來了，這次把支付業(yè)務(wù)網(wǎng)關(guān)拆分出來就也比較順利，一下子就完成了電商系統(tǒng)的架構(gòu)升級。今天這篇文章的目的架構(gòu)升級也就完成了，想要深入后續(xù)電商系統(tǒng)架構(gòu)升級的同學可以關(guān)注后續(xù)給大家?guī)淼奈⒎?wù)的相關(guān)分享，到時繼續(xù)以這個例子來進行微服務(wù)架構(gòu)上的演變升級，敬請大家關(guān)注。好了下面我們來回歸該升級的和核心主題授權(quán)中心?IdentityServer4?的應(yīng)用。

2.2 IdentityServer4 密碼授權(quán)模式

授權(quán)網(wǎng)關(guān)服務(wù)

靜態(tài)內(nèi)存配置方式

定義資源

分資源分為身份資源(Identity resources)和API資源(API resources)。

我們先創(chuàng)建Jlion.NetCore.Identity.Service 網(wǎng)關(guān)服務(wù),在網(wǎng)關(guān)服務(wù)中添加受保護的API資源，創(chuàng)建OAuthMemoryData?類代碼如下：

/// <summary> /// Api資源 靜態(tài)方式定義 /// </summary> /// <returns></returns> public static IEnumerable<ApiResource> GetApiResources() {return new List<ApiResource>{new ApiResource(OAuthConfig.UserApi.ApiName,OAuthConfig.UserApi.ApiName),}; }

定義客戶端Client

在OAuthMemoryData?類中定義一個客戶端應(yīng)用程序的Client，我們將使用它來訪問我們的API資源代碼如下：

public static IEnumerable<Client> GetClients() {return new List<Client>{new Client(){ClientId =OAuthConfig.UserApi.ClientId,AllowedGrantTypes = new List<string>(){GrantTypes.ResourceOwnerPassword.FirstOrDefault(),//Resource Owner Password模式},ClientSecrets = {new Secret(OAuthConfig.UserApi.Secret.Sha256()) },AllowedScopes= {OAuthConfig.UserApi.ApiName},AccessTokenLifetime = OAuthConfig.ExpireIn,},};}

?AllowedGrantTypes?：配置授權(quán)類型，可以配置多個授權(quán)類型?ClientSecrets：客戶端加密方式?AllowedScopes：配置授權(quán)范圍，這里指定哪些API 受此方式保護?AccessTokenLifetime：配置Token 失效時間?GrantTypes：授權(quán)類型，這里使用的是密碼模式ResourceOwnerPassword

代碼中可以看到有一個OAuthConfig?類，這個類是我單獨建的，是用于統(tǒng)一管理，方便維護，代碼如下：

public class OAuthConfig{/// <summary>/// 過期秒數(shù)/// </summary>public const int ExpireIn = 36000;/// <summary>/// 用戶Api相關(guān)/// </summary>public static class UserApi{public static string ApiName = "user_api";public static string ClientId = "user_clientid";public static string Secret = "user_secret";}}

如果后續(xù)架構(gòu)升級，添加了其他的網(wǎng)關(guān)服務(wù)，則只需要在這里添加所需要保護的API 資源，也可以通過讀取數(shù)據(jù)庫方式讀取受保護的Api資源。

接下來OAuthMemoryData?類添加測試用戶，代碼如下：

/// <summary> /// 測試的賬號和密碼 /// </summary> /// <returns></returns> public static List<TestUser> GetTestUsers() {return new List<TestUser>{new TestUser(){SubjectId = "1",Username = "test",Password = "123456"}}; }

上面受保護的資源，和客戶端以及測試賬號都已經(jīng)建立好了，現(xiàn)在需要把IdentityServer4 注冊到DI中：?Startup?中的ConfigureServices?代碼如下：

public void ConfigureServices(IServiceCollection services) {services.AddControllers();#region 內(nèi)存方式services.AddIdentityServer().AddDeveloperSigningCredential().AddInMemoryApiResources(OAuthMemoryData.GetApiResources()).AddInMemoryClients(OAuthMemoryData.GetClients()).AddTestUsers(OAuthMemoryData.GetTestUsers());#endregion}

代碼解讀：

?AddDeveloperSigningCredential：添加證書加密方式，執(zhí)行該方法，會先判斷tempkey.rsa證書文件是否存在，如果不存在的話，就創(chuàng)建一個新的tempkey.rsa證書文件，如果存在的話，就使用此證書文件。?AddInMemoryApiResources：把受保護的Api資源添加到內(nèi)存中?AddInMemoryClients?：客戶端配置添加到內(nèi)存中?AddTestUsers?：測試的用戶添加進來

最后通過UseIdentityServer()需要把IdentityServer4 中間件添加到Http管道中，代碼如下：

public void Configure(IApplicationBuilder app, IWebHostEnvironment env) {if (env.IsDevelopment()){app.UseDeveloperExceptionPage();}app.UseIdentityServer();app.UseRouting();app.UseAuthorization();app.UseEndpoints(endpoints =>{endpoints.MapControllers();}); }

好了，現(xiàn)在授權(quán)網(wǎng)關(guān)服務(wù)代碼已經(jīng)完成，現(xiàn)在直接通過命令行方式啟動，命令行啟動如下，我指定5000端口，如下圖：

電商用戶網(wǎng)關(guān)Api項目

現(xiàn)在我來新建一個WebApi 大的用戶網(wǎng)關(guān)服務(wù)項目，取名為Jlion.NetCore.Identity.UserApiService，新建后會默認有一個天氣預(yù)報的api接口，代碼如下：

[ApiController] [Route("[controller]")] public class WeatherForecastController : ControllerBase {private static readonly string[] Summaries = new[]{"Freezing", "Bracing", "Chilly", "Cool", "Mild", "Warm", "Balmy", "Hot", "Sweltering", "Scorching"};private readonly ILogger<WeatherForecastController> _logger;public WeatherForecastController(ILogger<WeatherForecastController> logger){_logger = logger;}[HttpGet]public IEnumerable<WeatherForecast> Get(){var rng = new Random();return Enumerable.Range(1, 5).Select(index => new WeatherForecast{Date = DateTime.Now.AddDays(index),TemperatureC = rng.Next(-20, 55),Summary = Summaries[rng.Next(Summaries.Length)]}).ToArray();} }

接下來在Startup?類中添加授權(quán)網(wǎng)關(guān)服務(wù)的配置到DI中，代碼如下：

public void ConfigureServices(IServiceCollection services){services.AddControllers();services.AddAuthorization();services.AddAuthentication("Bearer").AddIdentityServerAuthentication(options =>{options.Authority = "http://localhost:5000"; //配置Identityserver的授權(quán)地址options.RequireHttpsMetadata = false; //不需要https options.ApiName = OAuthConfig.UserApi.ApiName; //api的name，需要和config的名稱相同});}

這里的options.ApiName?需要和網(wǎng)關(guān)服務(wù)中的Api 資源配置中的ApiName 一致

接下來需要把授權(quán)和認證中間件分別注冊到Http 管道中，代碼如下：

public void Configure(IApplicationBuilder app, IWebHostEnvironment env) {if (env.IsDevelopment()){app.UseDeveloperExceptionPage();}app.UseRouting();app.UseAuthentication();app.UseAuthorization();app.UseEndpoints(endpoints =>{endpoints.MapControllers();}); }

現(xiàn)在授權(quán)服務(wù)網(wǎng)關(guān)啟用已經(jīng)完成，只需要在需要保護的Controller?中添加?Authorize?過濾器即可，現(xiàn)在我也通過命令行把需要保護的網(wǎng)關(guān)服務(wù)啟動，如圖：

現(xiàn)在我通過postman 工具來單獨訪問 用戶網(wǎng)關(guān)服務(wù)API，不攜帶任何信息的情況下,如圖：從訪問結(jié)果可以看出返回401 Unauthorized?未授權(quán)。

我們接下來再來訪問授權(quán)服務(wù)網(wǎng)關(guān)，如圖：

請求網(wǎng)關(guān)服務(wù)中body中攜帶了用戶名及密碼等相關(guān)信息，這是返回了access_token?及有效期等相關(guān)信息，我們再拿access_token?來繼續(xù)上面的操作，訪問用戶業(yè)務(wù)網(wǎng)關(guān)的接口，如圖：

訪問結(jié)果中已經(jīng)返回了我們所需要的接口數(shù)據(jù)，大家目前已經(jīng)對密碼模式的使用有了一定的了解，但是這時候可能會有人問我，我生產(chǎn)環(huán)境中可能需要通過數(shù)據(jù)庫的方式進行用戶信息的判斷，以及客戶端授權(quán)方式需要更加靈活的配置，可通過后臺來配置ClientId以及授權(quán)方式等，那應(yīng)該怎么辦呢？下面我再來給大家?guī)砩姝h(huán)境中的實現(xiàn)方式。

數(shù)據(jù)庫匹配驗證方式

我們需要通過用戶名和密碼到數(shù)據(jù)庫中驗證方式則需要實現(xiàn)IResourceOwnerPasswordValidator?接口，并實現(xiàn)ValidateAsync?驗證方法，簡單的代碼如下：

public class ResourceOwnerPasswordValidator : IResourceOwnerPasswordValidator {public async Task ValidateAsync(ResourceOwnerPasswordValidationContext context){try{var userName = context.UserName;var password = context.Password;//驗證用戶,這么可以到數(shù)據(jù)庫里面驗證用戶名和密碼是否正確var claimList = await ValidateUserAsync(userName, password);// 驗證賬號context.Result = new GrantValidationResult(subject: userName,authenticationMethod: "custom",claims: claimList.ToArray());}catch (Exception ex){//驗證異常結(jié)果context.Result = new GrantValidationResult(){IsError = true,Error = ex.Message};}}#region Private Method/// <summary>/// 驗證用戶/// </summary>/// <param name="loginName"></param>/// <param name="password"></param>/// <returns></returns>private async Task<List<Claim>> ValidateUserAsync(string loginName, string password){//TODO 這里可以通過用戶名和密碼到數(shù)據(jù)庫中去驗證是否存在，// 以及角色相關(guān)信息，我這里還是使用內(nèi)存中已經(jīng)存在的用戶和密碼var user = OAuthMemoryData.GetTestUsers();if (user == null)throw new Exception("登錄失敗，用戶名和密碼不正確");return new List<Claim>(){new Claim(ClaimTypes.Name, $"{loginName}"),};}#endregion }

用戶密碼驗證器已經(jīng)實現(xiàn)完成，現(xiàn)在需要把之前的通過AddTestUsers?方式改成AddResourceOwnerValidator<ResourceOwnerPasswordValidator>()?方式，修改后的代碼如下：

public void ConfigureServices(IServiceCollection services) {services.AddControllers();#region 數(shù)據(jù)庫存儲方式services.AddIdentityServer().AddDeveloperSigningCredential().AddInMemoryApiResources(OAuthMemoryData.GetApiResources()).AddInMemoryClients(OAuthMemoryData.GetClients())//.AddTestUsers(OAuthMemoryData.GetTestUsers());.AddResourceOwnerValidator<ResourceOwnerPasswordValidator>();#endregion }

目前已經(jīng)實現(xiàn)了用戶名和密碼數(shù)據(jù)庫驗證的方式，但是現(xiàn)在有人會考慮另外一個場景，客戶端的授權(quán)方式等也需要通過后臺可配置的方式，這樣比較靈活，不通過代碼中靜態(tài)配置的方式，那應(yīng)該這么辦呢？官方考慮的很周到，我們可以使用IClientStore?接口，同時需要實現(xiàn)FindClientByIdAsync?方法，代碼如下：

public class ClientStore : IClientStore {public async Task<Client> FindClientByIdAsync(string clientId){#region 用戶名密碼var memoryClients = OAuthMemoryData.GetClients();if (memoryClients.Any(oo => oo.ClientId == clientId)){return memoryClients.FirstOrDefault(oo => oo.ClientId == clientId);}#endregion#region 通過數(shù)據(jù)庫查詢Client 信息return GetClient(clientId);#endregion}private Client GetClient(string client){//TODO 根據(jù)數(shù)據(jù)庫查詢return null;} }

Startup?中ConfigureServices?代碼AddInMemoryClients?改成AddClientStore<>?代碼如下：

public void ConfigureServices(IServiceCollection services) {services.AddControllers();#region 數(shù)據(jù)庫存儲方式services.AddIdentityServer().AddDeveloperSigningCredential().AddInMemoryApiResources(OAuthMemoryData.GetApiResources())//.AddInMemoryClients(OAuthMemoryData.GetClients()).AddClientStore<ClientStore>().AddResourceOwnerValidator<ResourceOwnerPasswordValidator>();#endregion}

好了數(shù)據(jù)庫查詢匹配方式也已經(jīng)改造完了，業(yè)務(wù)網(wǎng)關(guān)服務(wù)不需要改動如何代碼，運行結(jié)果這里就不在運行演示了。Demo 代碼已經(jīng)上傳到github 上了，github 源代碼地址：https://github.com/a312586670/IdentityServerDemo

結(jié)語：通過IdentityServer4 實現(xiàn)的簡單授權(quán)中心的架構(gòu)思想也就完成了，其實這里還缺少一個比較重要的東西，后續(xù)再統(tǒng)一補充分享。有錯誤地方還請留言指出！感謝！！！

如果你覺的不錯，請微信掃碼關(guān)注 【dotNET博士】公眾號，后續(xù)給您帶來更精彩的分享。

掃描二維碼

獲取更多精彩

長按關(guān)注

希望大家?guī)兔c下右下角星星，寫文章、寫代碼都不容易。鼓勵下堅持寫文章的動力！

總結(jié)

以上是生活随笔為你收集整理的Asp.Net Core 中IdentityServer4 授权中心之应用实战的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。