官方文档https://identityserver4.readthedocs.io/en/latest/

参考https://www.cnblogs.com/i3yuan/p/13843082.html

IdentityServer4是一个框架,IdentityServer4是为ASP.NET CORE量身定制的实现了OpenId Connect和OAuth2.0协议的认证授权中间件。OpenId用于身份认证(Authentication) OAuth2.0 用于授权(Authorization)  OpenId Connect = OIDC = (Identity, Authentication) + OAuth2.0

OAuth 整体流程图:

OIDC使用OAuth2的授权服务器来为第三方客户端提供用户的身份认证,并把对应的身份认证信息传递给客户端,且可以适用于各种类型的客户端(比如服务端应用,移动APP,JS应用),且完全兼容OAuth2,也就是说你搭建了一个OIDC的服务后,也可以当作一个OAuth2的服务来用。应用场景如图:

IdentityServer4功能特性

  • Authentication as a Service:可以为你的应用(如网站、本地应用、移动端、服务)做集中式的登录逻辑和工作流控制。IdentityServer是完全实现了OpenID Connect协议标准
  • Single Sign-on / Sign-out:在多个应用程序类型上进行单点登录(和单点退出)。
  • Access Control for APIs:为不同类型的客户端,例如服务器到服务器、web应用程序、SPAs和本地/移动应用程序,发出api的访问令牌。
  • Federation Gateway:支持来自Azure Active Directory, Google, Facebook这些知名应用的身份认证,可以不必关心连接到这些应用的细节就可以保护你的应用。
  • Focus on Customization:最重要的是identityserver可以根据需求自行开发来适应应用程序的变化。identityserver不是一个框架、也不是一个盒装产品或一个saas系统,您可以编写代码来适应各种场景。

IdentityServer是将规范兼容的OpenID Connect和OAuth 2.0端点添加到任意ASP.NET Core应用程序的中间件。通常,您构建(或重新使用)包含登录和注销页面的应用程序,IdentityServer中间件会向其添加必要的协议头,以便客户端应用程序可以与其对话 使用这些标准协议。

IdentityServer4 默认支持两种类型的 Token,一种是 Reference Token,一种是 JWT Token 。前者的特点是 Token 的有效与否是由 Token 颁发服务集中化控制的,颁发的时候会持久化 Token,然后每次验证都需要将 Token 传递到颁发服务进行验证,是一种中心化的比较传统的验证方式。JWT Token 的特点与前者相反,每个资源服务不需要每次都要都去颁发服务进行验证 Token 的有效性验证,该 Token 由三部分组成,其中最后一部分包含了一个签名,是在颁发的时候采用非对称加密算法(最新的JWT Token)进行数据签名的,保证了 Token 的不可篡改性,保证了安全,与颁发服务的交互,仅仅是获取公钥用于验证签名,且该公钥获取以后可以自己缓存,持续使用,不用再去交互获得,除非Token包含的 keyid 对应的 公钥没被缓存(新的),就会再次向颁发服务获取。流程图:

identity server4 四种授权模式

下面介绍4种模式安全性从低到高

客户端模式

客户端模式只对客户端进行授权,不涉及到用户信息。如果你的api需要提供到第三方应用,第三方应用自己做用户授权,不需要用到你的用户资源,就可以用客户端模式,只对客户端进行授权访问api资源。

这是一种最简单的模式,只要client请求,我们就将AccessToken发送给它。这种模式是最方便但最不安全的模式。因此这就要求我们对client完全的信任,而client本身也是安全的

密码模式

需要客户端提供用户名和密码,密码模式相较于客户端凭证模式。通过User的用户名和密码向Identity Server申请访问令牌。

如果你高度信任某个应用,RFC 6749 也允许用户把用户名和密码,直接告诉该应用

(授权码)隐藏模式

密码模式将用户的密码暴露给了客户端,这无疑是不安全的,隐藏模式可以解决这个问题,由用户自己在IdentityServer服务器进行登录验证,客户端不需要知道用户的密码。

有些 Web 应用是前后端分离的纯前端应用,没有后端。这时就不能用上面的授权码模式了,必须将令牌储存在前端。

这种方式没有授权码这个中间步骤,所以称为(授权码)"隐藏式"(implicit)。

一般用的这个,token会直接返回到访问的地方,适用于前后端分离的项目(前后端分离后,只能把token保存到前端了,为他只有前端没有服务器)

授权码模式

授权码模式隐藏码模式最大不同是授权码模式不直接返回token,而是先返回一个授权码,然后再根据这个授权码去请求token。这比隐藏模式更为安全。从应用场景上来区分的话,隐藏模式适应于全前端的应用,授权码模式适用于有后端的应用,因为客户端根据授权码去请求token时是需要把客户端密码转进来的,为了避免客户端密码被暴露,所以请求token这个过程需要放在后台

OpenIdConnect

OpenIdConnect是OAuth2.0与OpenId的结合,并加入了一个重要的概念:id_token。我们之前所讲的token是用于访问授权的access_token,而id_token是用于身份验证的,作用完全不同,这一点要区分开来。access_token是OAth2.0特性,而id_token是OpenIdConnect方案为改善OAuth2.0方案在身份验证方面的薄弱而加入的特性。

客户端获取Id_token与隐藏模式和授权码模式一样,都是通过redirect_url参数返回的,所以前面的四种模式中的客户端模式与密码模式不支持获取id_token,而授权码模式受限于流程,必需先取得Code才能取到token,所以不能直接支持获取id_token,如果需求是使用授权码模式,同时又需要id_token,OpenIdConnect支持第五种模式:混合模式(Hybrid),就是基于隐藏模式与授权码模式的结合

IdentityService4(简称is4)有两种初始化方式:

1使用命令行安装is4模板

1)安装模板命令:dotnet new -i IdentityServer4.Templates

2)安装完成之后执行dotnet new命令如下图所示多出了一些模板

3)使用dotnet new is4empty -n IdentityServer创建一个is4empty模板,is4项目初始化完成

2.手动建立

1、创建ASP.NET Core Web应用程序,选择MVC。

2、添加nuget包:IdentityServer4。

3、添加Config.cs文件作为IdentityServer配置文件,用于定义IdentityServer资源和客户端等。

  1. using IdentityModel;
  2. using IdentityServer4;
  3. using IdentityServer4.Models;
  4. using IdentityServer4.Test;
  5. using System;
  6. using System.Collections.Generic;
  7. using System.Linq;
  8. using System.Security.Claims;
  9. using System.Threading.Tasks;
  10.  
  11. namespace WebApplication10
  12. {
  13.     public class OAuthConfig
  14.     {
  15.         /// <summary>
  16.         /// token有效时间 过期秒数 //2小时 = 3600 * 2
  17.         /// </summary>
  18.         public static int ExpireIn = 3600;
  19.  
  20.         /// <summary>
  21.         /// 跨域地址
  22.         /// </summary>
  23.  
  24.         public static string[] CorUrls = new[] { "http://*:4137", "http://*:5072" };
  25.  
  26.         /// <summary>
  27.         /// Api资源名称
  28.         /// </summary>
  29.  
  30.         public static string ApiName = "user_api";
  31.  
  32.         /// <summary>
  33.         /// 客户端唯一ID
  34.         /// </summary>
  35.  
  36.         public static string ClientId = "user_clientid";
  37.  
  38.         /// <summary>
  39.         /// 密钥
  40.         /// </summary>
  41.  
  42.         public static string Secret = "user_secret";
  43.     }
  44.     /// <summary>
  45.     ///  密码授权模式  分资源分为身份资源(Identity resources)和API资源(API resources)。
  46.     /// </summary>
  47.     public class Config
  48.     {
  49.         #region 定义资源
  50.         // 身份信息授权资源
  51.         public static IEnumerable<IdentityResource> GetIdentityResources() =>
  52.             new IdentityResource[]
  53.             {
  54.                 new IdentityResources.OpenId(),
  55.                 new IdentityResources.Profile()
  56.             };
  57.  
  58.         //API访问授权资源
  59.         public static IEnumerable<ApiResource> GetApiResources() =>
  60.             new ApiResource[]
  61.             {
  62.                 //标识名称  显示名称(自定义)
  63.                 new ApiResource(OAuthConfig.ApiName,"我的Ids4")
  64.                 {
  65.                     UserClaims =  { ClaimTypes.Name, JwtClaimTypes.Name },
  66.                     ApiSecrets = new List<Secret>()
  67.                     {
  68.                         new Secret(OAuthConfig.Secret.Sha256())
  69.                     }
  70.                 }
  71.             };
  72.         #endregion
  73.  
  74.         #region 定义客户端Client
  75.         /// <summary>
  76.         /// 4种模式 客户端模式(ClientCredentials) 密码模式(ResourceOwnerPassword)  隐藏模式(Implicit)  授权码模式(Code)
  77.         /// </summary>
  78.         /// <returns></returns>
  79.         public static IEnumerable<Client> GetClients() =>
  80.             new Client[]
  81.             {
  82.                  new Client
  83.                 {
  84.                     ClientId = OAuthConfig.ClientId,//客户端的唯一ID
  85.                     ClientName = "隐式模式",//客户端显示名称
  86.                     AllowedGrantTypes = GrantTypes.Implicit,// 隐式模式
  87.                     ClientSecrets = new []{ new Secret(OAuthConfig.Secret.Sha256()) },//客户端加密方式
  88.                     RequireConsent = false, //如果不需要显示否同意授权 页面 这里就设置为false
  89.                     AllowAccessTokensViaBrowser = true,//控制是否通过浏览器传输此客户端的访问令牌
  90.                     AccessTokenLifetime = OAuthConfig.ExpireIn, //过期秒数
  91.                     //登录成功跳转地址
  92.                     RedirectUris =
  93.                     {
  94.                         "http://localhost:4137/oauth2-redirect.html",
  95.                     },
  96.                     //退出登录跳转地址
  97.                     PostLogoutRedirectUris =
  98.                     {
  99.                         $"http://www.taobao.com"
  100.                     },
  101.                     //跨域地址
  102.                     AllowedCorsOrigins = OAuthConfig.CorUrls,
  103.                     //配置授权范围,这里指定哪些API 受此方式保护
  104.                     AllowedScopes =
  105.                     {
  106.                         IdentityServerConstants.StandardScopes.OpenId,
  107.                         IdentityServerConstants.StandardScopes.Profile,
  108.                         OAuthConfig.ApiName
  109.                     }
  110.                 }
  111.             };
  112.         #endregion
  113.  
  114.         /// <summary>
  115.         /// 测试的账号和密码
  116.         /// </summary>
  117.         /// <returns></returns>
  118.         public static List<TestUser> GetTestUsers()
  119.         {
  120.             return new List<TestUser>
  121.             {
  122.                 new TestUser()
  123.                 {
  124.                      SubjectId = "1",
  125.                      Username = "admin",
  126.                      Password = "123456"
  127.                 },
  128.                 new TestUser()
  129.                 {
  130.                      SubjectId = "2",
  131.                      Username = "test",
  132.                      Password = "123456"
  133.                 }
  134.             };
  135.         }
  136.     }
  137. }

4.配置Startup

  1. using System;
  2. using System.Collections.Generic;
  3. using System.IO;
  4. using System.Linq;
  5. using System.Threading.Tasks;
  6. using Admin.IdentityServer.Account;
  7. using IdentityServer4.Configuration;
  8. using Microsoft.AspNetCore.Builder;
  9. using Microsoft.AspNetCore.Hosting;
  10. using Microsoft.Extensions.Configuration;
  11. using Microsoft.Extensions.DependencyInjection;
  12. using Microsoft.Extensions.Hosting;
  13. using Microsoft.OpenApi.Models;
  14. using Newtonsoft.Json;
  15. using Newtonsoft.Json.Serialization;
  16.  
  17. namespace WebApplication10
  18. {
  19.     public class Startup
  20.     {
  21.         public Startup(IConfiguration configuration)
  22.         {
  23.             Configuration = configuration;
  24.         }
  25.  
  26.         public IConfiguration Configuration { get; }
  27.  
  28.         private string basePath => AppContext.BaseDirectory;
  29.  
  30.         // This method gets called by the runtime. Use this method to add services to the container.
  31.         public void ConfigureServices(IServiceCollection services)
  32.         {
  33.             var builder = services.AddIdentityServer(options =>
  34.             {
  35.                 options.UserInteraction = new UserInteractionOptions
  36.                 {
  37.                     LoginUrl = "/user/login",
  38.                     LogoutUrl = "/user/logout"
  39.                 };
  40.             })
  41.                 .AddInMemoryIdentityResources(Config.GetIdentityResources())
  42.                 .AddInMemoryApiResources(Config.GetApiResources())//把受保护的Api资源添加到内存中
  43.                 .AddInMemoryClients(Config.GetClients())//客户端配置添加到内存中
  44.  
  45.                .AddProfileService<AdminProfileService>()
  46.                .AddResourceOwnerValidator<AdminResourceOwnerPasswordValidator>();
  47.  
  48.             //添加证书加密方式,执行该方法,会先判断tempkey.rsa证书文件是否存在,如果不存在的话,就创建一个新的tempkey.rsa证书文件,如果存在的话,就使用此证书文件
  49.             builder.AddDeveloperSigningCredential();
  50.  
  51.             #region Cors 跨域
  52.             services.AddCors(options =>
  53.             {
  54.                 options.AddPolicy("Limit", policy =>
  55.                 {
  56.                     policy
  57.                     .WithOrigins(OAuthConfig.CorUrls)
  58.                     .AllowAnyHeader()
  59.                     .AllowAnyMethod()
  60.                     .AllowCredentials();
  61.                 });
  62.             });
  63.             #endregion
  64.             services.AddControllersWithViews();
  65.  
  66.         }
  67.  
  68.         // This method gets called by the runtime. Use this method to configure the HTTP request pipeline.
  69.         public void Configure(IApplicationBuilder app, IWebHostEnvironment env)
  70.         {
  71.             if (env.IsDevelopment())
  72.             {
  73.                 app.UseDeveloperExceptionPage();
  74.             }
  75.             else
  76.             {
  77.                 app.UseExceptionHandler("/Home/Error");
  78.             }
  79.             app.UseCors("Limit");
  80.  
  81.             app.UseStaticFiles();
  82.  
  83.             app.UseRouting();
  84.  
  85.             //启动ids4中间件
  86.             app.UseIdentityServer();
  87.  
  88.             app.UseAuthorization();
  89.  
  90.             app.UseEndpoints(endpoints =>
  91.             {
  92.                 endpoints.MapControllerRoute(
  93.                     name: "default",
  94.                     pattern: "{controller=Home}/{action=Index}/{id?}");
  95.             });
  96.  
  97.         }
  98.     }
  99. }

5.配置服务端

  1. services.AddAuthentication("Bearer")
  2.            .AddIdentityServerAuthentication(options =>
  3.            {
  4.                options.Authority = "http://localhost:4137";    //配置Identityserver的授权地址
  5.                options.RequireHttpsMetadata = false;           //不需要https
  6.                options.ApiName = "user_api";  //api的name,需要和config的名称相同
  7.            });

以上内容参考官方文档https://identityserver4.readthedocs.io/en/latest/

其他博客参考

https://www.cnblogs.com/jlion/p/12447081.html

https://www.cnblogs.com/jardeng/p/12776317.html

https://www.tnblog.net/15985459135/article/details/3055

https://www.cnblogs.com/jardeng/p/12776317.html

.Net Core使用IdentityServer4的更多相关文章

  1. .NET Core + Ocelot + IdentityServer4 + Consul 基础架构实现

    先决条件 关于 Ocelot 针对使用 .NET 开发微服务架构或者面向服务架构提供一个统一访问系统的组件. 参考 本文将使用 Ocelot 构建统一入口的 Gateway. 关于 IdentityS ...

  2. NET Core + Ocelot + IdentityServer4 + Consul

    .NET Core + Ocelot + IdentityServer4 + Consul 基础架构实现 先决条件 关于 Ocelot 针对使用 .NET 开发微服务架构或者面向服务架构提供一个统一访 ...

  3. 【转】.NET Core + Ocelot + IdentityServer4 + Consul 基础架构实现

    作者:Zhang_Xiang 原文地址:.NET Core + Ocelot + IdentityServer4 + Consul 基础架构实现 先决条件 关于 Ocelot 针对使用 .NET 开发 ...

  4. Asp.Net Core 中IdentityServer4 授权中心之应用实战

    一.前言 查阅了大多数相关资料,查阅到的IdentityServer4 的相关文章大多是比较简单并且多是翻译官网的文档编写的,我这里在 Asp.Net Core 中IdentityServer4 的应 ...

  5. Asp.Net Core 中IdentityServer4 授权中心之自定义授权模式

    一.前言 上一篇我分享了一篇关于 Asp.Net Core 中IdentityServer4 授权中心之应用实战 的文章,其中有不少博友给我提了问题,其中有一个博友问我的一个场景,我给他解答的还不够完 ...

  6. Asp.Net Core 中IdentityServer4 授权原理及刷新Token的应用

    一.前言 上面分享了IdentityServer4 两篇系列文章,核心主题主要是密码授权模式及自定义授权模式,但是仅仅是分享了这两种模式的使用,这篇文章进一步来分享IdentityServer4的授权 ...

  7. Asp.Net Core 中IdentityServer4 实战之 Claim详解

    一.前言 由于疫情原因,让我开始了以博客的方式来学习和分享技术(持续分享的过程也是自己学习成长的过程),同时也让更多的初学者学习到相关知识,如果我的文章中有分析不到位的地方,还请大家多多指教:以后我会 ...

  8. Asp.Net Core 中IdentityServer4 实战之角色授权详解

    一.前言 前几篇文章分享了IdentityServer4密码模式的基本授权及自定义授权等方式,最近由于改造一个网关服务,用到了IdentityServer4的授权,改造过程中发现比较适合基于Role角 ...

  9. 【.NET Core】ASP.NET Core之IdentityServer4(1):快速入门

    [.NET Core]ASP.NET Core之IdentityServer4 本文中的IdentityServer4基于上节的jenkins 进行docker自动化部署. 使用了MariaDB,EF ...

  10. asp.net core 使用identityServer4的密码模式来进行身份认证(一)

    IdentityServer4是ASP.NET Core的一个包含OpenID和OAuth 2.0协议的框架.具体Oauth 2.0和openId请百度. 前言本博文适用于前后端分离或者为移动产品来后 ...

随机推荐

  1. Redis 基础数据结构之二 list(列表)

    Redis 有 5 种基础数据结构,分别为:string (字符串).list (列表).set (集合).hash (哈希) 和 zset (有序集合). 今天来说一下list(列表)这种数据结构, ...

  2. 浅谈 van Emde Boas 树——从 u 到 log log u 的蜕变

    本文参考算法导论完成. 模板题在此 QwQ 优化的过程比较长,还请读者耐心阅读,认真理解. 最初的想法 我会暴力! 用一个 \(size\) 数组维护每个元素出现的次数. 不细讲,时间复杂度 \(O( ...

  3. Elasticsearch7.7.0安装

    安装 下载解压 elasticsearch-7.7.0-linux-x86_64.tar.gz tar -zxvf elasticsearch-7.7.0-linux-x86_64.tar.gz -C ...

  4. 【应用服务 App Service】解决无法从Azure门户SSH登录问题

    问题描述 中国区的Azure App Service(应用服务)已经支持创建Docker并选择Linux环境.在使用中,我们可以继续通过kudu站点的方式登录查看站点的一些日志及部署文件.它的登录方式 ...

  5. C语言入门最后一阶,掌握这门知识,你就进入提高阶段~

    哈喽,伙伴们,我们前面讲了C语言的发展史,基本数据类型,变量与常量,表达式,基本结构等等,今天是作为C语言基础入门的最后一个阶段:输入与输出. 以上这些知识你能够掌握好,就可以开始进入C语言的进阶提高 ...

  6. H3CNE认证(题库)

    H3CNE考试的题库,均为发烧友收集的,拥有将近认证考试的百分之八十五的题,但答案不具备官方性,但是题库具有解析. https://huxiaoyao.lanzous.com/b01tr2skd 密码 ...

  7. 05_Content Provider

    Content Provider是内容提供器,与内容(数据)的存取(存储.获取)有关,是Android应用程序的四大组成部分之一,是Android中的跨应用访问数据机制. 数据库在Android当中是 ...

  8. NDK&JNI开发总结

    NDK&JNI开发总结 简介 附个不错的博客 https://www.jianshu.com/p/87ce6f565d37 在Android Framework中,需要提供一种媒介或 桥梁,将 ...

  9. Spring Cloud 学习 (九) Spring Security, OAuth2

    Spring Security Spring Security 是 Spring Resource 社区的一个安全组件.在安全方面,有两个主要的领域,一是"认证",即你是谁:二是& ...

  10. 这可能是最为详细的Docker入门总结

    写在前面 毕设是关于区块链的,自然就用到了docker,感觉到了docker的强大.学习源于总结,所以找了一些资料,这篇文章原作写的不错,看了好多遍哈哈. 这可能是最为详细的Docker入门总结 市面 ...