ASP.NET Core 有一个灵活的方式来处理外部认证,有如下几个步骤:

如果你使用了 ASP.NET Identity,ASP.NET Identity 对于许多底层代码都做了封装, 建议阅读Microsoft文档并查看ASP.NET Identity快速入门源码,以此来充分了解 ASP.NET Identity。

一.添加外部认证处理程序

与外部认证提供者交互所需的协议实现被封装在一个认证处理程序中。 一些提供者使用专有协议(例如Facebook等社交提供者),一些使用标准协议, OpenID Connect,WS-Federation或SAML2p。

请参阅此快速入门以了解添加外部认证并对其进行配置的分步说明。

二.cookies的作用

外部认证处理程序上的一个设置 SignInScheme,例如:

services.AddAuthentication()

    .AddGoogle("Google", options =>

    {

        options.SignInScheme = "scheme of cookie handler to use";

        options.ClientId = "...";

        options.ClientSecret = "...";

    })

登录 scheme 指定将暂时存储外部认证的结果的cookie处理程序的名称,例如 由外部提供商发送的身份信息单元(Claim)。 这是必要的,因为在完成外部认证过程之前,通常会有几个重定向(比如QQ登录的跳转)。

鉴于这是一种常见的做法,IdentityServer 专门为此外部提供程序工作流程注册一个Cookie处理程序。 该方案通过IdentityServerConstants.ExternalCookieAuthenticationScheme常量表示。 如果你要使用 IdentityServer 提供外部cookie处理程序,那么对于上面的SignInScheme,默认值为IdentityServerConstants.ExternalCookieAuthenticationScheme常量:

services.AddAuthentication()

    .AddGoogle("Google", options =>

    {

        options.SignInScheme = IdentityServerConstants.ExternalCookieAuthenticationScheme;

        options.ClientId = "...";

        options.ClientSecret = "...";

    })

您也可以注册您自己的自定义Cookie处理程序,如下所示:

services.AddAuthentication()

    .AddCookie("YourCustomScheme")

    .AddGoogle("Google", options =>

    {

        options.SignInScheme = "YourCustomScheme";

        options.ClientId = "...";

        options.ClientSecret = "...";

    })

对于特定的场景,你可以不使用外部Cookie机制,将外部用户直接转发到主要Cookie处理程序。 这通常涉及在外部处理程序上处理事件,以确保从外部身份源执行正确的身份信息(Claim)转换。

三. 触发认证

你可以通过HttpContext上的ChallengeAsync扩展方法(或使用MVC ChallengeResult)调用外部认证处理程序。

如果传递某些设置,比如: returnUrl和scheme可以这样设置:

var callbackUrl = Url.Action("ExternalLoginCallback");

var props = new AuthenticationProperties

{

    RedirectUri = callbackUrl,

    Items =

    {

        { "scheme", provider },

        { "returnUrl", returnUrl }

    }

};

return Challenge(provider, props);

四. 回调处理程序和用户签名

在回调页面上,通常任务是:

  • 检查由外部提供商返回的身份。
  • 如果处理用户,对于已存在的用户和新用户的处理是不同的
  • 新用户在登入可能需要额外的步骤和UI界面。
  • 可能会创建一个内部账户来绑定外部身份
  • 存储你要保留的外部身份信息单元(Claim)。
  • 删除临时cookie
  • 登录用户

** 检查外部身份:**

// read external identity from the temporary cookie

var result = await HttpContext.AuthenticateAsync(IdentityServerConstants.ExternalCookieAuthenticationScheme);

if (result?.Succeeded != true)

{

    throw new Exception("External authentication error");

}

// retrieve claims of the external user

var externalUser = result.Principal;

if (externalUser == null)

{

    throw new Exception("External authentication error");

}

// retrieve claims of the external user

var claims = externalUser.Claims.ToList();

// try to determine the unique id of the external user - the most common claim type for that are the sub claim and the NameIdentifier

// depending on the external provider, some other claim type might be used

var userIdClaim = claims.FirstOrDefault(x => x.Type == JwtClaimTypes.Subject);

if (userIdClaim == null)

{

    userIdClaim = claims.FirstOrDefault(x => x.Type == ClaimTypes.NameIdentifier);

}

if (userIdClaim == null)

{

    throw new Exception("Unknown userid");

}

var externalUserId = userIdClaim.Value;

var externalProvider = userIdClaim.Issuer;

// use externalProvider and externalUserId to find your user, or provision a new user

** 清理和登录:**

// issue authentication cookie for user

await HttpContext.SignInAsync(user.SubjectId, user.Username, provider, props, additionalClaims.ToArray());

// delete temporary cookie used during external authentication

await HttpContext.SignOutAsync(IdentityServerConstants.ExternalCookieAuthenticationScheme);

// validate return URL and redirect back to authorization endpoint or a local page

if (_interaction.IsValidReturnUrl(returnUrl) || Url.IsLocalUrl(returnUrl))

{

    return Redirect(returnUrl);

}

return Redirect("~/");

五.State,URL Length和ISecureDataFormat

当重定向到外部登录时,来自客户端应用程序的状态必须频繁进行往返。 这意味着状态在离开客户端之前被捕获并保存直到用户返回到客户端应用程序。 许多协议(包括OpenID Connect)都允许将某种状态作为参数传递,身份提供者将在响应中返回该状态。 ASP.NET Core提供的OpenID Connect身份验证处理程序利用了该协议的这一功能,这就是它如何实现上述的returnUrl功能。

在请求参数中存储状态的问题是请求URL可能会变得太大(超过2000个字符的公共限制)。 OpenID Connect身份验证处理程序的确提供了一个可扩展点,用于将状态存储在服务器中,而不是在请求URL中。 您可以通过实现ISecureDataFormat 并在OpenIdConnectOptions上配置它来实现这一点。

幸运的是,IdentityServer为您提供了一个实现,由在DI容器中注册的IDistributedCache实现(例如,独立的MemoryDistributedCache)支持。 要使用IdentityServer提供的安全数据格式实现,只需在配置DI时在IServiceCollection上调用AddOidcStateDataFormatterCache扩展方法即可。 如果没有参数传递,则所有配置的OpenID Connect处理程序将使用IdentityServer提供的安全数据格式实现:

public void ConfigureServices(IServiceCollection services)

{

    // configures the OpenIdConnect handlers to persist the state parameter into the server-side IDistributedCache.

    services.AddOidcStateDataFormatterCache();

    services.AddAuthentication()

        .AddOpenIdConnect("demoidsrv", "IdentityServer", options =>

        {

            // ...

        })

        .AddOpenIdConnect("aad", "Azure AD", options =>

        {

            // ...

        })

        .AddOpenIdConnect("adfs", "ADFS", options =>

        {

            // ...

        });

}

如果只配置特定方案,则将这些方案作为参数传递:

public void ConfigureServices(IServiceCollection services)

{

    // configures the OpenIdConnect handlers to persist the state parameter into the server-side IDistributedCache.

    services.AddOidcStateDataFormatterCache("aad", "demoidsrv");

    services.AddAuthentication()

        .AddOpenIdConnect("demoidsrv", "IdentityServer", options =>

        {

            // ...

        })

        .AddOpenIdConnect("aad", "Azure AD", options =>

        {

            // ...

        })

        .AddOpenIdConnect("adfs", "ADFS", options =>

        {

            // ...

        });

}

IdentityServer Topics(5)- 使用第三方登录的更多相关文章

  1. IdentityServer Topics(4)- 登录

    为了使IdentityServer代表用户发布令牌,该用户必须登录到IdentityServer. Cookie认证 使用来自ASP.NET Core的cookie身份验证处理程序管理的cookie跟 ...

  2. iOS微信第三方登录实现

    iOS微信第三方登录实现   一.接入微信第三方登录准备工作.移动应用微信登录是基于OAuth2.0协议标准构建的微信OAuth2.0授权登录系统.在进行微信OAuth2.0授权登录接入之前,在微信开 ...

  3. 使用QQ第三方登录时,手机应用和网站应用对同一个QQ号,获取到的openid不一样

    使用QQ第三方登录时,手机应用和网站应用对同一个QQ号,获取到的openid不一样openid生成是根据应用的appid和QQ号的一些信息加密生成,对于一个appid和QQ号来说,openid是唯一的 ...

  4. 腾讯开放平台web第三方登录获取信息类(包含签名)

    不清楚具体参数的可以先看下第三方登录的文档: class QQ { //$appid 你的appid //$openid 获取到的唯一的用户openid //$openkey 获取到的openkey ...

  5. 第三方登录插件.NET版XY.OAuth-CSharp

    XY.OAuth-CSharp GitHub:XY.OAuth-CSharp OSChina:XY.OAuth-CSharp 第三方登录插件.NET版 使用 首先,从NuGet上安装"XY. ...

  6. iOS之ShareSDK实现分享、第三方登录等功能

    (1)官方下载ShareSDK iOS 2.8.8,地址:http://sharesdk.cn/ (2)根据实际情况,引入相关的库,参考官方文档. (3)在项目的AppDelegate中一般情况下有三 ...

  7. 利用ShareSDK进行第三方登录和分享

    到相应开发者平台注册开发者账号,并添加你要进行分享和使用第三方登录应用的信息. 添加新浪微博应用 注册网址 http://open.weibo.com添加QQ应用 注册网址  http://mobil ...

  8. 分享前端Facebook及Twitter第三方登录

    最近公司要求做海外的第三方登录:目前只做了Facebook和Twitter;国内百度到的信息太少VPN FQ百度+Google了很久终于弄好了.但是做第三方登录基本上都有个特点就是引入必须的js,设置 ...

  9. iOS - Share 分享/第三方登录

    1.系统方式创建分享 按照下图在 Info.plist 文件中将 Localization native development region 的值改为 China.如果不设置此项弹出的分享页面中显示 ...

  10. IOS 集成第三方登录

    我使用的是友盟上集成的第三方登录功能,一共使用了三个应用的登录授权,QQ.微信.新浪微博.由于第三方登录授权成功后,需要跳转到一个新的界面,所以这里需要在项目里设置第三方登录的SSO授权.就是必须安装 ...

随机推荐

  1. springboot+jpa+thymeleaf增删改查的示例(转)

    这篇文章介绍如何使用jpa和thymeleaf做一个增删改查的示例. 先和大家聊聊我为什么喜欢写这种脚手架的项目,在我学习一门新技术的时候,总是想快速的搭建起一个demo来试试它的效果,越简单越容易上 ...

  2. Spark Streaming VS Flink Streaming

    引自:https://www.slideshare.net/datamantra/introduction-to-flink-streaming

  3. iOS 网络监听、判断

    一 网络监听 - (BOOL)application:(UIApplication *)application didFinishLaunchingWithOptions:(NSDictionary ...

  4. spring-struts2-mybatis-maven 转账开发记录

          最近写一个转账需求向外提供接口,用的是spring+struts2+maven 方式,数据库是oracle.我先新建maven类,然后引入spring相关jar包和mybatis包,配置s ...

  5. C++ 头文件系列(list)

    简介 list实现的实际上是双向链表,所以叫它doubly-linked list也许更好. 因为实现的是双向链表,所以它有两个非常重要的性质: 双向 链表 双向 双向意味着----给定一个元素,我们 ...

  6. 如何在MQ中实现支持任意延迟的消息?

    什么是定时消息和延迟消息? 定时消息:Producer 将消息发送到 MQ 服务端,但并不期望这条消息立马投递,而是推迟到在当前时间点之后的某一个时间投递到 Consumer 进行消费,该消息即定时消 ...

  7. 【WebGL】《WebGL编程指南》读书笔记——第5章

    一.前言        终于到了第五章了,貌似开始越来越复杂了. 二.正文         Example1:使用一个缓冲区去赋值多个顶点数据(包含坐标及点大小) function initVerte ...

  8. JavaScript函数(二)

    在前面我们已经对函数作了简单的介绍,比如函数的定义.函数的声明.函数的调用和函数的传参等.本节将进一步介绍函数的应用,深度理解函数的各种使用. 函数是一个对象,每个函数时Function类型的一个实例 ...

  9. 小白的Python之路 day4 json and pickle数据标准序列化

    一.简述 我们在写入文件中的数据,只能是字符串或者二进制,但是要传入文件的数据不一定全是字符串或者二进制,那还要进行繁琐的转换,然后再读取的时候,还要再转回去,显得很麻烦,今天就来学习标准的序列化:j ...

  10. js构建函数,点击按钮显示div,再点击按钮或其他区域,隐藏div

    这只是一个例子,先看看效果: html代码: <nav> <span class="nav_logo"></span> <h1>云蚂 ...