IdentityServer开题篇

最近也研究了一段时间的IdentityServer4，园里关于IdentityServer的文章也很多，这里也简单写写，做做记录（文笔不佳，见谅）。

1.identityserver是什么？

Identityserver是一个OpenID Connect和OAuth 2.0框架。它实现了这两种协议流程，也提供了客户端以便于集成。（基本上OpenID Connect和OAuth 2.0部分代码是无法更改的，里面的endpoint相关代码都是内部类）

Identityserver也支持自定义协议，你可以自己添加一个自己的验证授权流程，不过需要写很多代码，官网提供了一个WsFederation协议的例子。

Identityserver支持以下几种模式，也可以自己自定义模式：

Implicit（隐式授权模式）：隐式授权类型针对基于浏览器的应用程序进行了优化。仅用于用户身份验证（服务器端和JavaScript应用程序），或身份验证和访问令牌请求（JavaScript应用程序）。不支持刷新token，简单来说就是一系列授权和用户登录的流程。对应的模式是混合模式。

Authorization code（授权码模式）：获取授权码，再通过授权码获取accesstoken和refreshtoken

Hybrid（混合模式）：混合流是隐式和授权代码流的组合。支持刷新token。

Client credentials（客户端认证模式）：通过客户端id和秘钥获取token

Resource owner password（用户名密码模式）：使用用户名密码获取token

Refresh tokens（刷新token模式）:使用刷新token获取新的accesstoken和刷新token

上各种模式的最终目的都是获取授权，例如Idtoken(包含用户信息，JWT格式），accesstoken，accesstoken包含了用户授权的信息，例如允许访问哪些api等。

2.Identityserver能做什么

单点登录：我一开始接触identityserver就是为了实现单点登录，一般使用Implicit（隐式授权模式）或者 Hybrid（混合模式）实现单点登录。

Implicit流程如下：

登录：

用户在客户端网站1通过客户端id和秘钥等信息访问identityserver，验证通过后跳转到登录页面，输入用户名密码正确会返回idtoken，客户端网站1通过解密获取用户信息并存储cookie(第一次登录）

客户端网站2通过客户端id和秘钥等信息访问identityserver，发现用户已认证（identityserver网站存储了cookie）,客户端网站2通过解密获取用户信息并存储cookie（第二次登录）

登出：

用户通过客户端网站1访问Identityserver的结束会话端点，需要id_token_hint和post_logout_redirect_uri参数，Identityserver清除会话信息（cookie），并会回调所有登录客户端的FrontChannelLogout(前端注销）和BackChannelLogout（后端注销）地址，

接着跳转到网站1的post_logout_redirect_uri地址。

ps:通过identityserver实现的单点登录必须每个网站验证都需要跳转到identityserver,若要实现一次登录所有网站都登录的模式（jsonp实现单点登录），只能再通过一个子网站作为中转。

认证服务：适用于各种客户端集中登录逻辑和工作流程。单点登录就是其中一种实现。

API访问控制：一种是基于客户端的访问，一种是基于用户的访问，都是通过Identityserver获取accesstoken（accesstoken有api的授权），获取的时候需要包含允许访问的api参数，然后就可以通过accesstoken访问api了。

ps:api也是需要自己新建的，接入identityserver验证或者bear认证就可以了。

接入第三方授权访问：例如google,facebook,qq,微博等。