1、简介

Identity Server4学习系列一Identity Server4学习系列二之令牌(Token)的概念的基础上,了解了Identity Server4的由来,以及令牌的相关知识,本文开始实战,实现Identity Server4基本的功能。

2、前提

本文基于.Net Core2.1和Indetity Server4 2.3.0,令牌处理包采用IdentityServer4.AccessTokenValidation 2.7.0

3、实战一Identity Server4服务端配置

(1)、项目结构

(2)、站点入口文件Program.cs类

    public class Program

    {

        public static void Main(string[] args)

        {

            CreateWebHostBuilder(args).Build().Run();

        }

        /// <summary>

        /// 设置当前项目的服务器宿主,Windows下默认为IIS

        /// 设置启动类为Startup类

        /// </summary>

        /// <param name="args"></param>

        /// <returns></returns>

        public static IWebHostBuilder CreateWebHostBuilder(string[] args) =>

            WebHost.CreateDefaultBuilder(args)

                .UseStartup<Startup>();

    }

注意:如果时Linux环境,这里在这里可以切换站点的宿主服务器

(3)、Startup启动类(配置Identity Server4的相关参数和MVC的相关参数,并注入到管道模型中)

    public class Startup

    {

        // This method gets called by the runtime. Use this method to add services to the container.

        // For more information on how to configure your application, visit https://go.microsoft.com/fwlink/?LinkID=398940

        public void ConfigureServices(IServiceCollection services)

        {

            //优雅的链式编程

            //注入Identity Server4服务到DI容器中

            services.AddIdentityServer()

           //注入临时签名凭据到DI容器,后期可用签名证书的密钥替换,用于生成零时密钥

           .AddDeveloperSigningCredential()

           //注入需要受Identity Server4保护的Api资源添注入到DI容器中 -内存级别

           .AddInMemoryApiResources(Apis.GetApiResources())

           //注入需要访问受Identity Server4保护的Api资源的客户端注入到DI容器中 -内存级别

           .AddInMemoryClients(ThirdClients.GetClients());

            //注入基本的MVC服务

            services.AddMvcCore()

            //注入MVC的认证服务,对应控制器的Authorize特性

           .AddAuthorization()

           //注入MVC格式化程序,对应JsonResult等等的格式化操作,主要用于控制器返回值的格式化操作

           .AddJsonFormatters();

            //注入身份认证服务,设置Bearer为默认方案

            services.AddAuthentication("Bearer")

            //注入并配置Bearer为默认方案的基本参数

            .AddIdentityServerAuthentication(options =>

            {

                //设置令牌的发布者

                options.Authority = "http://localhost:5000";

                //设置Https

                options.RequireHttpsMetadata = false;

                //需要认证的api资源名称

                options.ApiName = "api1";

            });

        }

        // This method gets called by the runtime. Use this method to configure the HTTP request pipeline.

        public void Configure(IApplicationBuilder app, IHostingEnvironment env)

        {

            //如果当前时开发者模式

            if (env.IsDevelopment())

            {

                //从管道中捕获同步和异步System.Exception实例并生成HTML错误响应。

                app.UseDeveloperExceptionPage();

            }

            //将IdentityServer 4服务注入到管道模型中(对应上面的IdentityServer 4服务的配置)

            app.UseIdentityServer();

            //将认证服务通过Microsoft.AspNetCore.Authentication.AuthenticationMiddleware中间件

            //注入到管道模型中(对应上面认证服务的配置)

            app.UseAuthentication();

            //将mvc添加到Microsoft.AspNetCore.Builder.IApplicationBuilder请求执行中(对应上的MVC配置)

            app.UseMvc();

        }

    }

(4)、配置第三方客户端能成功在认证模式下能成功访问Api资源的资本参数

    /// <summary>

    /// 配置可以访问IdentityServer4 保护的Api资源模型的第三方客户端

    /// 配置客户端访问的密钥

    /// 配置

    /// </summary>

    public class ThirdClients

    {

        public static IEnumerable<Client> GetClients()

        {

            return new List<Client>()

            {

                new Client()

                {

                    //客户端的唯一Id,客户端需要指定该ClientId才能访问

                     ClientId = $"client",

                    //no interactive user, use the clientid/secret for authentication

                    //使用客户端密钥进行认证

                    AllowedGrantTypes = GrantTypes.ClientCredentials,

                    // 认证密钥

                    ClientSecrets =

                    {

                        //用Sha256对"secret"进行加密,客户端必须使用secret密钥才能成功访问

                        new Secret("secret".Sha256())

                    },

                    // scopes that client has access to

                    //如果客户端的密钥认证成功,限定该密钥可以访问的Api范围

                    AllowedScopes = { "api1" }

                }

            };

        }

    }

注意ClientId(分配给不同客户端的Id),对应的客户端调用时传递过来的ClientId必须一致,否则客户端发起调用时汇报这个错:

密钥也是一样,密钥是我们分配给客户端的,客户端只有给对了我们分配给它的ClientId和密钥的同时,才能访问对应的api,所以如果你的密钥不对,客户端发起调用时也会报这个错:

(5)、配置受保护的Api资源模型

    public class Apis

    {

        //ApiResource -IdentityServer4.Models下的Api资源模型

        public static IEnumerable<ApiResource> GetApiResources()

        {

            return new List<ApiResource>()

            {

                //Api资源模型

                new ApiResource("api1", "My API")

            };

        }

    }

注意ApiRescourse的名称必须和Client的AllowedScopes属性对应,否则客户端调用时会报下面这个错:

(6)、验证服务端是否配置成功

开启站点,浏览器输入http://localhost:5000/.well-known/openid-configuration,等到如下返回报文说明服务部署成功:

{
   //令牌签发者,对应StartUp中的Identity Server4中的认证配置

    "issuer":"http://localhost:5000",
    //jwt令牌处理地址

    "jwks_uri":"http://localhost:5000/.well-known/openid-configuration/jwks",

    "authorization_endpoint":"http://localhost:5000/connect/authorize",

    "token_endpoint":"http://localhost:5000/connect/token",

    "userinfo_endpoint":"http://localhost:5000/connect/userinfo",

    "end_session_endpoint":"http://localhost:5000/connect/endsession",

    "check_session_iframe":"http://localhost:5000/connect/checksession",

    "revocation_endpoint":"http://localhost:5000/connect/revocation",

    "introspection_endpoint":"http://localhost:5000/connect/introspect",

    "device_authorization_endpoint":"http://localhost:5000/connect/deviceauthorization",

    "frontchannel_logout_supported":true,

    "frontchannel_logout_session_supported":true,

    "backchannel_logout_supported":true,

    "backchannel_logout_session_supported":true,

    "scopes_supported":[

        "api1",

        "offline_access"

    ],

    "claims_supported":[

    ],

    "grant_types_supported":[

        "authorization_code",

        "client_credentials",

        "refresh_token",

        "implicit",

        "urn:ietf:params:oauth:grant-type:device_code"

    ],

    "response_types_supported":[

        "code",

        "token",

        "id_token",

        "id_token token",

        "code id_token",

        "code token",

        "code id_token token"

    ],

    "response_modes_supported":[

        "form_post",

        "query",

        "fragment"

    ],

    "token_endpoint_auth_methods_supported":[

        "client_secret_basic",

        "client_secret_post"

    ],

    "subject_types_supported":[

        "public"

    ],

    "id_token_signing_alg_values_supported":[

        "RS256"

    ],

    "code_challenge_methods_supported":[

        "plain",

        "S256"

    ]

}

参数含义,自行了解

3、实战一客户端调用受Identity Server4保护的Api资源

(1)、前提

客户端必须安装IdentityModel 3.10.4包

(2)、调用代码如下:

    class Program

    {

        static void Main(string[] args)

        {

            Request();

            Console.ReadKey();

        }

        async static void Request()

        {

            //请求Identity Server4服务

            var disco = await DiscoveryClient.GetAsync("http://localhost:5000");

            if (disco.IsError)

            {

                Console.WriteLine(disco.Error);

                return;

            }

            //生成Identity Server4授权的客户端,通过指定对应的ClientId和密钥(secret)

            var tokenClient = new TokenClient(disco.TokenEndpoint, "client", "secret");

            var tokenResponse = await tokenClient.RequestClientCredentialsAsync("api1");

            if (tokenResponse.IsError)

            {

                Console.WriteLine(tokenResponse.Error);

                return;

            }

            Console.WriteLine(tokenResponse.Json);

            //通过Identity Server4的认证过后,拿到AccessToken

            var client = new HttpClient();

            client.SetBearerToken(tokenResponse.AccessToken);

            var response = await client.GetAsync("http://localhost:5000/identity");

            if (!response.IsSuccessStatusCode)

            {

                Console.WriteLine(response.StatusCode);

            }

            else

            {

                //认证成功,输出Identity控制器的返回值

                var content = await response.Content.ReadAsStringAsync();

                Console.WriteLine(JArray.Parse(content));

            }

        }

    }

得到如下报文:

同时查看Identity Server4服务端的输出:

第一步:客户端传入在Indetity Server4中注册过的分配给该客户端的ClientId和密钥,拿到AccessToken

第二步:第一次请求目标控制器,并把AcessToken带过去

第三步:验证Token是否有效

第四步:Token有效,开始调用Identity控制器方法,并拿到响应值

大致的流程如上.

Identity Server4学习系列三的更多相关文章

  1. Identity Server4学习系列四之用户名密码获得访问令牌

    1.简介 Identity Server4支持用户名密码模式,允许调用客户端使用用户名密码来获得访问Api资源(遵循Auth 2.0协议)的Access Token,MS可能考虑兼容老的系统,实现了这 ...

  2. Identity Server4学习系列一

    一.前言 今天开始学习Identity Server4,顺便了解下.Net Core,以便于完善技术栈,最主要的是要跟上.Net的发展潮流,顺便帮助各位整理下官方文档,加上一些我自己对他的理解. 这是 ...

  3. Identity Server4学习系列二之令牌(Token)的概念

    1.简介 通过前文知道了Identity Server4的基本用途,现在必须了解一些实现它的基本细节. 2.关于服务端生成Token令牌 头部(Header): { “typ”: “JWT”, //t ...

  4. MyBatis学习系列三——结合Spring

    目录 MyBatis学习系列一之环境搭建 MyBatis学习系列二——增删改查 MyBatis学习系列三——结合Spring MyBatis在项目中应用一般都要结合Spring,这一章主要把MyBat ...

  5. scrapy爬虫学习系列三:scrapy部署到scrapyhub上

    系列文章列表: scrapy爬虫学习系列一:scrapy爬虫环境的准备:      http://www.cnblogs.com/zhaojiedi1992/p/zhaojiedi_python_00 ...

  6. DocX开源WORD操作组件的学习系列三

    DocX学习系列 DocX开源WORD操作组件的学习系列一 : http://www.cnblogs.com/zhaojiedi1992/p/zhaojiedi_sharp_001_docx1.htm ...

  7. RabbitMQ学习系列三-C#代码接收处理消息

    RabbitMQ学习系列三:.net 环境下 C#代码订阅 RabbitMQ 消息并处理 http://www.80iter.com/blog/1438251320680361 http://www. ...

  8. .net reactor 学习系列(三)---.net reactor代码自动操作相关保护功能

    原文:.net reactor 学习系列(三)---.net reactor代码自动操作相关保护功能         接上篇,上篇已经学习了界面的各种功能以及各种配置,这篇准备学习下代码控制许可证. ...

  9. RabbitMQ学习系列三:.net 环境下 C#代码订阅 RabbitMQ 消息并处理

    上一篇已经讲了Rabbitmq如何在Windows平台安装 不懂请移步: RabbitMQ学习系列二:.net 环境下 C#代码使用 RabbitMQ 消息队列 一.理论 .net环境下,C#代码订阅 ...

随机推荐

  1. s5-11 距离矢量路由选择协议

    距离矢量路由选择(Distance Vector:DV) 每个路由器维护一张表,表中列出了当前已知的到每个目标 的最佳距离,以及为了到达那个目标,应该从哪个接口转发. 距离矢量路由选择(Distanc ...

  2. oss+上传文件夹

    最近公司做工程项目,实现文件夹云存储上传. 网上找了一天,发现网上很多代码都存在相似问题,最后终于找到了一个满足我需求的项目. 工程如下: 这里对项目的文件夹传输功能做出分析,怎么实现文件夹上传的,如 ...

  3. Objective-C的泛型

    WWDC2015的明星是Swift.在Swift语言到2.0以后会被开源,这其中包括了protocol扩展和一个新的错误处理API. 苹果的小baby已经长成,并且意料之中的获得了开发者的关注.但是在 ...

  4. BUG 图片元素img下 高度超出 出现多余空白

    BUG 图片元素img下 高度超出 出现多余空白 1.将图片转换为块级对象 即,设置img为“display:block;”.   2.设置图片的垂直对齐方式 即设置图片的vertical-align ...

  5. 第十四个目标 (fzu)

    http://acm.fzu.edu.cn/contest/problem.php?cid=151&sortid=8 Problem Description 目暮警官.妃英里.阿笠博士等人接连 ...

  6. python 开发学习

    https://www.cnblogs.com/wj-1314/p/8476197.html

  7. Amoeba常见问题

    1.1.1 JAVA_HOME不认 jdk安装后测试无问题java –version,但启动amoeba就是报错JAVA_HOME找不到.就修改/amoeba/bin/amoeba文件,在文件最开头直 ...

  8. 修复msvcp120.dll

    https://www.microsoft.com/zh-CN/download/details.aspx?id=40784

  9. 前端开发 - jQuery

    本节内容 一.jQuery概述 二.选择器 三.操作DOM 四.修改DOM结构 五.事件 六.动画 七.AJAX(待续) 八.扩展(待续) 一.jQuery概述 jQuery 是一个 JavaScri ...

  10. FastReport套打 和连续打印

    FastReport套打,纸张是连续的带锯齿的已经印刷好的,类似于通信公司发票这里设计的是客户销售记录.客户有两个要求:1.因为打印纸张是印刷的,明细记录只有8行,所以,如果明细记录如果不到8行,就将 ...