毕业网站建设ppt,wordpress增加下载量显示,东莞做网站企业,东莞阳光网招聘官网IdentityServer4是什么#xff1f;IdentityServer4是基于ASP.NET Core实现的认证和授权框架#xff0c;是对OpenID Connect和OAuth 2.0协议的实现。OpenID Connect 和 OAuth2.0是什么OpenID Connect:OpenID Connect由OpenID基金会于2014年发布的一个开放标准, 是建立在OAuth … IdentityServer4是什么IdentityServer4是基于ASP.NET Core实现的认证和授权框架是对OpenID Connect和OAuth 2.0协议的实现。OpenID Connect 和 OAuth2.0是什么OpenID Connect:OpenID Connect由OpenID基金会于2014年发布的一个开放标准, 是建立在OAuth 2.0协议上的一个简单的身份标识层, OpenID Connect 兼容 OAuth 2.0. 实现身份认证Authentication参考资料https://openid.net/connect/OpenID Connect文档https://openid.net/specs/openid-connect-discovery-1_0.htmlOAuth2.0:OAuth2.0是一个开放的工业标准的授权协议Authorization它允许用户授权让第三方应用直接访问用户在某一个服务中的特定资源但不提供给第三方账号及密码信息参考资料https://www.cnblogs.com/xiandnc/p/9763121.htmlOAuth2.0 文档https://tools.ietf.org/html/rfc6749#page-73Authentication 和 Authorization的区别authentication: n. 证明鉴定证实authorization: n. 授权认可批准委任前者是身份识别鉴别你是谁后者是授权许可告诉你可以做什么。举个例子你吭哧吭哧写了一天的代码急于回家吃上一口媳妇做的热饭。当你走到小区门口的时候你需要刷小区的门禁卡才能进入到小区里面然后再找到你家在哪一栋楼几单元几号然后掏出钥匙开门才能回到家。在这个过程中刷小区的门禁就是认证你是这个小区的人拿你家的钥匙开门就是授权的过程如果你的认证不通过那就不存在授权。uth2.0的原理我们先来了解一下OAuth2.0中的几个关键概念资源所有者Resource Owner 一个能够访问受保护资源的实体。当资源所有者是一个人时它被称为终端用户资源服务器Resource Server 托管受保护资源的服务器能够使用访问令牌接受和响应受保护的资源请求客户端Client 代表资源所有者和其授权的应用程序来保护资源请求。术语客户端并不意味着任何特定的实现特征例如应用程序是否在服务器、桌面或其他设备上执行授权服务器Authorization Server 在成功验证资源所有者并获得授权之后服务器向客户端发出访问令牌。授权服务器是用来管理Resource OwnerResource ServerClient的中间人场景小李想要打印美图快印自己三年来发布在新浪微博相册中和女朋友的照片有没有什么方法他既不告诉工作人员自己的新浪微博用账号和密码又能够方便快捷的把照片给到美图快印呢排除存U盘这种手工操作 Authorization Server和Resource Server可以使独立的服务提供商也可以是在一起的比如例子中新浪微博既作授权服务器也用来存储用户的图片资源。我们可以看到OAuth2解决的问题是通过Authorization Server可以提供一个访问的凭据token给client美图快印的工作人员使得client可以在不知道Resource Owner以及Resource Server的用户名和密码的情况下访问到Resource Owner受保护的资源它是一个完美的中间人。 OAuth2.0详细内容请参考https://www.cnblogs.com/xiandnc/p/9763121.htmlIdentityServer4能做什么 用户认证服务 基于OpenID Connect实现的独立的认证服务实现对多平台web, native, mobile, services的集中认证API访问授权 为各种类型的客户机颁发api访问令牌例如服务器到服务器、web应用程序、spa和native/mobile程序联合身份认证 支持外部身份提供者如Azure Active Directory、Google、Facebook等定制化的实现 IdentityServer4的许多方面可以定制以满足您的需要,因为它是一个框架而不是SaaS服务所以可以通过编写代码来调整实现以适应不同的场景成熟的开原方案 使用许可的Apache2开源协议允许在其之上构建商业产品也作为.NET基金会支持的项目 https://dotnetfoundation.org/projects?typeprojectps10pn6提供免费的商业支持 官方可以对使用者提供部分的免费商业支持IdentityServer4定义的基本术语 IdentityServer 身份认证服务器是一个实现了OpenID Connect和OAuth 2.0协议的身份提供者它负责向客户端发布安全令牌User 使用注册客户端访问资源的用户Client 客户端从标识服务器请求令牌要么用于认证用户请求身份令牌要么用于访问资源请求访问令牌 客户端必须首先在身份服务器上注册然后才能请求令牌 这里的客户端可以是web应用程序、native mobile desktop applications, SPA 等程序Resource 资源是你想要用身份认证服务器保护的东西如用户的身份数据或api 每个资源都有一个惟一的名称客户端使用这个名称来指定他们想要访问的资源 关于用户的身份数据标识也称为claim例如姓名或电子邮件地址Identity Token 身份令牌代表身份验证过程的结果Access Token 访问令牌授权客户端以允许访问哪些API资源访问令牌包含客户端和用户的信息 IdentityServer4的简单示例 我们先来看一个简单的例子我们有三个API Order, Product, Inventory我们利用IdentityServer4来实现对着三个API的认证和授权。首先我们需要一个实现认证和授权的服务然后外部要想访问我们的API就必须通过统一的认证和授权服务的任何才可以否则就是返回401: UnAuthorized ,未经授权的访问。我们既可以将身份信息存储到内存中也可以将其持久化到数据库中此处我们使用内存模式快速的演示实现示例代码中也支持存储到DB中使用SqlLite EF Core首先我们需要安装IdentityServer4的Nuget包然后在ConfigureServices方法中添加如下代码来初始化需要保护的API资源信息代码如下 public void ConfigureServices(IServiceCollection services) { // config data in memory services.AddIdentityServer() .AddDeveloperSigningCredential() .AddInMemoryApiResources(InitMemoryData.GetApiResources()) .AddInMemoryClients(InitMemoryData.GetClients()) .AddTestUsers(InitMemoryData.GetUsers()); // config in DB //services.AddDbContextIdentityServerDbContext(options // options.UseSqlite(sqliteConnection)); } InitMemoryData 中的配置信息如下// scopes define the API resources in your system public static IEnumerableApiResource GetApiResources() { return new ListApiResource { new ApiResource(inventoryapi, this is inventory api), new ApiResource(orderapi, this is order api), new ApiResource(productapi, this is product api) }; } // clients want to access resources (aka scopes) public static IEnumerableClient GetClients() { // client credentials client return new ListClient { new Client { ClientId inventory, AllowedGrantTypes GrantTypes.ClientCredentials, ClientSecrets { new Secret(inventorysecret.Sha256()) }, AllowedScopes { inventoryapi } }, new Client { ClientId order, AllowedGrantTypes GrantTypes.ClientCredentials, ClientSecrets { new Secret(ordersecret.Sha256()) }, AllowedScopes { orderapi } }, new Client { ClientId product, AllowedGrantTypes GrantTypes.ClientCredentials, ClientSecrets { new Secret(productsecret.Sha256()) }, AllowedScopes { productapi } } }; }我们给IdentityServer4设置启动端口5000认证服务的地址就是http://localhost:5000 然后认证Server端的代码就好了接下来我们需要在API添加授权服务的配置配置都很类似我们以OrderAPI为例 // This method gets called by the runtime. Use this method to add services to the container. public void ConfigureServices(IServiceCollection services) { services.AddMvcCore() .AddAuthorization() .AddJsonFormatters(); services.AddAuthentication(Bearer) .AddIdentityServerAuthentication(options { options.Authority http://localhost:5000; options.RequireHttpsMetadata false; options.ApiName orderapi; }); } // This method gets called by the runtime. Use this method to configure the HTTP request pipeline. public void Configure(IApplicationBuilder app, IHostingEnvironment env) { app.UseAuthentication(); app.UseMvc(); }这里我们配置的Authority地址就是认证授权的地址AddAuthentication中的Bearer是Jwt Token的一种具体可参考文章https://www.cnblogs.com/Leo_wl/p/7792046.html在controller中添加简单代码来返回API的信息[Route([controller])] [Authorize] public class OrderController : ControllerBase { // GET api/order [HttpGet] public IActionResult Get() { var userIdentitys from c in User.Claims select new UserIdentity { Type c.Type, Value c.Value }; var result new UserIdentityModel() { Description Access user order api successfully, UserIdentitys userIdentitys.ToList() }; return new JsonResult(result); } }设置当前API的端口为5002Product和Inventory中的配置和这个类似端口信息以此设置为50015003一切就绪让我们来测试一下结果启动IdentotyServer以及三个API我们使用Postman来请求api下面站点就是IdentityServer的页面了接着我们来直接访问OrderAPI就会发现返回 401 这说明目前我们的API已经受保护了没有认证服务颁发的token是直接访问不了的。我们输入地址http://localhost:5000/.well-known/openid-configuration 可以查看我们当前认证授权服务的配置信息 现在还差一步就可以访问我们的OrderAPI了那就是客户端传入必要的信息给认证服务生成一定格式的token然后携带着这个token来访问我们的服务 传入的三个参数分别是grant_type , client_sercret, client_id这几个参数分别代表了我们申请token时的授权方式是客户端授权密匙clientid信息。我们在前面介绍过IdentityServer4是对OAuth2.0的实现所以具体参数的含义请参考之前OAuth2.0文章中的详细介绍https://www.cnblogs.com/xiandnc/p/9763121.html此时我们可以看到认证服务给我们返回了有效token指定过期时间3600s token的类型是Bearer然后我们再携带这这个token去访问服务试试看 我们可以看到此时API 返回了我们期待的正确结果如果在1小时后再携带着这个token去访问API就会提示token已过期需要重新生成才能够继续访问。看完这个例子是不是很简单很清爽呢例子参考代码https://github.com/KenWang007/IdentityServer4Demo原文地址https://www.cnblogs.com/xiandnc/p/10150814.html.NET社区新闻深度好文欢迎访问公众号文章汇总 http://www.csharpkit.com
