IdentityServer4 的使用
# IdentityServer4 的使用
IdentityServer4 是基于 OpenId Connect(OIDC)、OAuth 2.0 统一的身份认证和授权系统。它拥有很多功能:
- 保护你的资源
- 使用本地帐户或通过外部身份提供程序对用户进行身份验证
- 提供会话管理和单点登录
- 管理和验证客户机
- 向客户发出标识和访问令牌
- 验证令牌
# OpenId Connect(OIDC)
OpenId 是一种认证机制,用于对用于的身份进行认证,它允许用户使用单个账号登录多个网站。
OIDC 提供者必须记录其将哪些声明包含在其标识令牌中,有关认证的必须声明:
- aud(读者):必须包含在发行者注册的 RP 的客户机标识
- iss(发行者):OP 的发行者标识
- exp(到期时间):RP 必须再次时间之前验证标识令牌
- iat(发行时间):发放标识令牌的时间
以下声明是有关用户的必须声明:
- sub(主题):发行者的用户的本地唯一且永久标识
# OAuth 2.0
OAuth 2.0 是一种授权机制,主要用于颁发令牌。
举个例子 你入职了一家公司,HR 小姐姐给了你一张门禁卡,你通过门禁卡就可以进入公司。但不一定每一间屋子都能进。-- 这就相当于颁发访问令牌。 非本公司的人没有门禁卡,他们就进不来。而你拿着这张门禁卡在公司到处溜达,不见得每个门都能打开,比如老总办公室。-- 这就是权限控制。 当你离职的时候,HR 小姐姐会收回你的门禁卡,你也就进不了公司了,这就是授权过期。
OAuth 2.0 规定了四中获得令牌的流程:
- 授权码(authorization-code)
- 隐藏式(implicit)
- 密码式(password)
- 客户端凭证(client-credentials)
1、授权码:
即客户先申请一个授权,然后再用该授权码获取令牌。这种方式最常用,安全性也最高。
因为发送参数通常都在 URL 中,并且 secret 参数是保密的,所以一定要在后端发送请求。
2、隐藏式:
即允许直接向前端颁发令牌,没有授权码的步骤。
因为随着前后端分离,大量纯前端项目的出现,导致授权码的方式在一定程度上不能实行,所以必须将令牌存储在前端,于是就有了隐藏式。
这种方式很不安全,所以只用于特定安全要求不高的环境下,并且有效期应该设置的尽量短。而且,这种回调的跳转参数通常使用锚点形式。
3、密码式:
即通过某个第三方应用输入密码进行验证,并由该应用向目标服务器请求令牌。
这种方式要求客户完全信赖其使用的第三方应用,否则不应该将密码告诉它们。
4、客户端凭证:
该方案适用于命令行应用。这种方式给出的令牌是针对第三方应用的,而非针对用户,所以可能多个用户使用同一令牌。
无论哪种方式,客户(第三方应用)都应在申请令牌之前进行系统备案,说明自己的身份,然后才会拿到两个身份识别码:
- 客户端 Id(client ID)
- 客户端秘钥(client secret)
没有备案的客户,是不会拿到令牌的。
# 创建 IS4 服务
IS4 官方教程:英文文档
示例代码
具体代码可以看 示例代码
# 安装 IS4 包
通过 NuGet
管理器安装 IdentityServer4
。
# 添加配置文件
添加一个 Config.cs
文件,并且添加如下内容:
public static class Config
{
/// <summary>
/// 配置认证资源信息
/// </summary>
public static IEnumerable<IdentityResource> Ids =>
new IdentityResource[]
{
// 认证资源,OpenId 是必须要添加的
new IdentityResources.OpenId(),
// Profile 也是需要带上的
new IdentityResources.Profile()
};
/// <summary>
/// 配置 Api 信息
/// </summary>
public static IEnumerable<ApiScope> Apis =>
new[]
{
new ApiScope("api.jeremyjone.com", "Jz.Api"),
};
/// <summary>
/// 配置客户端
/// </summary>
public static IEnumerable<Client> Clients =>
new []
{
new Client
{
// 客户端 Id
ClientId = "jz",
// 客户端获取 Token
ClientSecrets = new[] {new Secret("www.jeremyjone.com".Sha256()) },
// 使用客户端认证
AllowedGrantTypes = GrantTypes.ClientCredentials,
// 允许访问的 Api
AllowedScopes = new[] { "api.jeremyjone.com" }
}
};
}
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
提示
这是基本配置,更多配置,请参考 详解配置
# 配置服务
在 Startup.cs
中配置 IS4 的服务。
public void ConfigureServices(IServiceCollection services)
{
var builder = services.AddIdentityServer()
.AddInMemoryApiScopes(Config.Apis)
.AddInMemoryClients(Config.Clients);
// 开发环境下配置临时签名认证
builder.AddDeveloperSigningCredential();
}
2
3
4
5
6
7
8
9
然后添加中间件:
app.UseIdentityServer();
# 密码认证
如果需要使用密码认证,两个步骤:
需要将客户端的配置中
AllowedGrantTypes
字段的值修改为GrantTypes.ResourceOwnerPassword
。同时添加一个测试用户以供测试:
- 在
Config.cs
文件中添加一个静态方法:
/// <summary> /// 配置测试账户 /// </summary> public static List<TestUser> Users => new List<TestUser> { new TestUser { SubjectId = "1", Username = "jeremyjone", Password = "123456" } };
1
2
3
4
5
6
7
8
9
10
11
12
13- 然后在
Startup.cs
文件中的服务配置中追加一个AddTestUsers(Config.Users)
即可。
- 在
这样一个简单的认证中心就配置完成。
# 测试一下
通过 Postman 进行测试:
通过后台代码测试:
示例代码
具体代码可以看 示例代码
public static async void GetToken()
{
var client = new HttpClient();
var discovery = await client.GetDiscoveryDocumentAsync("http://localhost:5000");
if (discovery.IsError)
{
Console.WriteLine("ERR: " + discovery.Error);
}
var resp = await client.RequestClientCredentialsTokenAsync(new ClientCredentialsTokenRequest
{
Address = discovery.TokenEndpoint,
ClientId = "jz",
ClientSecret = "www.jeremyjone.com",
});
if (resp.IsError)
{
Console.WriteLine("ERR: " + resp.Error);
}
Console.WriteLine(resp.Json);
}
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
测试结果同样是成功的。
这样就完成了基于 OAuth 2.0 协议的认证过程。
# 实现 OIDC 认证
使用 IS4 实现一个 OIDC 认证。
# 建立认证服务器
基于上面的认证服务器进行修改,首先添加 UI。
示例代码
具体代码可以看 示例代码
在项目根目录下添加 UI 文件,有两种方式:
打开 IdentityServer4.Quickstart.UI,下载全部内容并复制到项目文件夹下。
使用 命令行:
# powershell iex ((New-Object System.Net.WebClient).DownloadString('https://raw.githubusercontent.com/IdentityServer/IdentityServer4.Quickstart.UI/main/getmain.ps1'))
1
2或者在 macOS 或者 Linux 中:
curl -L https://raw.githubusercontent.com/IdentityServer/IdentityServer4.Quickstart.UI/main/getmain.sh | bash
1
除了上面两种方式,还可以通过 cli 的模板工具进行添加(前提是你得有对应模板,如果没有,就用上面的命令即可):
dotnet new -i identityserver4.templates
dotnet new is4ui
2
了解更多 IS4 提供的模板,可以查看 IS4 的模板
安装成功后,目录结构如下:
直接运行可以看到界面了:
这里有个细节问题,如果点登录后没有跳转页面,而后台出现了类似
SameSite
的错误,请参照微软的文档操作:SameSite Cookie
然后修改之前的代码,只需要修改配置文件即可。
在 Config.Clients
中添加一个客户端:
new Client
{
ClientId = "mvc_client",
ClientName = "MVC Client",
ClientSecrets = {new Secret("www.jeremyjone.com".Sha256())},
// 使用授权码
AllowedGrantTypes = GrantTypes.Code,
// 重定向,地址是客户端的地址
RedirectUris = {"http://localhost:6000/signin-oidc"},
PostLogoutRedirectUris = {"http://localhost:6000/signout-callback-oidc"},
// 用户的授权范围
AllowedScopes =
{
// 允许用户的授权
IdentityServerConstants.StandardScopes.OpenId,
IdentityServerConstants.StandardScopes.Profile,
"api.jeremyjone.com"
},
// 是否需要用户同意(需要的话,会跳转到一个同意页面)
RequireConsent = true
}
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
重定向地址是标准地址,也可以自定义。
# 建立客户端
新建一个项目,MVC、API 或者其他客户端项目都可以。
示例代码
具体代码可以看 示例代码
# 配置客户端的服务
在 Startup.ConfigureServices
中添加认证服务:
// 关闭默认 Token 命名空间
JwtSecurityTokenHandler.DefaultMapInboundClaims = false;
services.AddAuthentication(options =>
{
// 配置协议
options.DefaultScheme = "Cookies";
options.DefaultChallengeScheme = "oidc";
})
.AddCookie("Cookies")
// 如果使用 Chrome 在登录后无法从 signin-oidc 路径跳转到目标路径,如下操作:
// 打开浏览器键入 chrome://flags,搜索 Cookies without SameSite must be secure,将其设置为 Disabled 即可。
.AddOpenIdConnect("oidc", options =>
{
// 如果不启用 https,则需要添加该 meta 项
options.RequireHttpsMetadata = false;
// 这个地址是认证服务器的地址
options.Authority = "http://localhost:5000";
// 下面内容需要与认证服务器的内容保持一致
options.ClientId = "mvc_client";
options.ClientSecret = "www.jeremyjone.com";
// 认证方式
options.ResponseType = "code";
options.SaveTokens = true;
// 验证是否包含某个作用域
options.Scope.Add("api.jeremyjone.com");
});
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
然后在中间件中注册 UseAuthentication()
即可。
# 修改控制器
在控制器中给一个方法添加 [Authorize]
控制访问权限。
这样就配置好了,可以整体测试一下。
# 测试认证连接
命令行打开认证服务器,确保打开地址是客户端填写的地址。
启动客户端,客户端地址应该是服务器填写的重定向根地址。
打开浏览器,输入客户端地址,点击被限制的接口按钮时,就会跳转到对应服务器的登录认证页面,成功后可以跳转回客户端地址。
# 丰富的模板
通过安装 IS4 的模板,可以快速创建多种类型的 IS4 服务。
首先需要安装模板:
dotnet new -i IdentityServer4.Templates
安装好之后,通过 dotnet new
会看到多出来的模板:
记住它们的命令:
名称 | 说明 |
---|---|
is4admin | 创建一个带后台管理的完整 IdentityServer 项目,但仅可用于测试 |
is4aspid | 创建一个将使用 ASP.NET Core Identity 的新 IdentityServer 项目 |
is4empty | 创建一个空的 IdentityServer 项目 |
is4ef | 创建带有 EntityFramework 支持的新项目 |
is4inmem | 创建内存存储的新项目,通常用于快速测试 |
is4ui | 创建一个带 UI 的完整 MVC 示例 |