2. 程式人生 > >Identity Server4學習系列三 Identity Server4學習系列一 Identity Server4學習系列二之令牌(Token)的概念

Identity Server4學習系列三 Identity Server4學習系列一 Identity Server4學習系列二之令牌(Token)的概念

阿新 發佈:2018-12-15

1、簡介

Identity Server4學習系列一Identity Server4學習系列二之令牌(Token)的概念的基礎上,瞭解了Identity Server4的由來,以及令牌的相關知識,本文開始實戰,實現Identity Server4基本的功能。

 

2、前提

本文基於.Net Core2.1和Indetity Server4 2.3.0,令牌處理包採用IdentityServer4.AccessTokenValidation 2.7.0

 

3、實戰一Identity Server4服務端配置

(1)、專案結構

 

(2)、站點入口檔案Program.cs類

    public class Program
    {
        public static void Main(string[] args)
        {
            CreateWebHostBuilder(args).Build().Run();
        }

        /// <summary>
        /// 設定當前專案的伺服器宿主,Windows下預設為IIS
        /// 設定啟動類為Startup類
        /// </summary>
        /// <param name="args"></param>
 

        /// <returns></returns>
        public static IWebHostBuilder CreateWebHostBuilder(string[] args) =>
            WebHost.CreateDefaultBuilder(args)
                .UseStartup<Startup>();
    }

注意:如果時Linux環境,這裡在這裡可以切換站點的宿主伺服器

 

(3)、Startup啟動類(配置Identity Server4的相關引數和MVC的相關引數,並注入到管道模型中)

    public class Startup
    {
        // This method gets called by the runtime. Use this method to add services to the container.
        // For more information on how to configure your application, visit https://go.microsoft.com/fwlink/?LinkID=398940
        public void ConfigureServices(IServiceCollection services)
        {
            //優雅的鏈式程式設計
            //注入Identity Server4服務到DI容器中
            services.AddIdentityServer()
           //注入臨時簽名憑據到DI容器,後期可用簽名證書的金鑰替換,用於生成零時金鑰
           .AddDeveloperSigningCredential()
           //注入需要受Identity Server4保護的Api資源添注入到DI容器中 -記憶體級別
           .AddInMemoryApiResources(Apis.GetApiResources())
           //注入需要訪問受Identity Server4保護的Api資源的客戶端注入到DI容器中 -記憶體級別
           .AddInMemoryClients(ThirdClients.GetClients());

            //注入基本的MVC服務
            services.AddMvcCore()
            //注入MVC的認證服務,對應控制器的Authorize特性
           .AddAuthorization()
           //注入MVC格式化程式,對應JsonResult等等的格式化操作,主要用於控制器返回值的格式化操作
           .AddJsonFormatters();

            //注入身份認證服務,設定Bearer為預設方案
            services.AddAuthentication("Bearer")
            //注入並配置Bearer為預設方案的基本引數
            .AddIdentityServerAuthentication(options =>
            {
                //設定令牌的釋出者
                options.Authority = "http://localhost:5000";
                //設定Https
                options.RequireHttpsMetadata = false;
                //需要認證的api資源名稱
                options.ApiName = "api1";
            });
        }

        // This method gets called by the runtime. Use this method to configure the HTTP request pipeline.
        public void Configure(IApplicationBuilder app, IHostingEnvironment env)
        {
            //如果當前時開發者模式
            if (env.IsDevelopment())
            {
                //從管道中捕獲同步和非同步System.Exception例項並生成HTML錯誤響應。
                app.UseDeveloperExceptionPage();
            }

            //將IdentityServer 4服務注入到管道模型中(對應上面的IdentityServer 4服務的配置)
            app.UseIdentityServer();

            //將認證服務通過Microsoft.AspNetCore.Authentication.AuthenticationMiddleware中介軟體
            //注入到管道模型中(對應上面認證服務的配置)
            app.UseAuthentication();

            //將mvc新增到Microsoft.AspNetCore.Builder.IApplicationBuilder請求執行中(對應上的MVC配置)
            app.UseMvc();
        }
    }

 

(4)、配置第三方客戶端能成功在認證模式下能成功訪問Api資源的資本引數

    /// <summary>
    /// 配置可以訪問IdentityServer4 保護的Api資源模型的第三方客戶端
    /// 配置客戶端訪問的金鑰
    /// 配置
    /// </summary>
    public class ThirdClients
    {
        public static IEnumerable<Client> GetClients()
        {
            return new List<Client>()
            {
                new Client()
                {
                    //客戶端的唯一Id,客戶端需要指定該ClientId才能訪問
                     ClientId = $"client",

                    //no interactive user, use the clientid/secret for authentication
                    //使用客戶端金鑰進行認證
                    AllowedGrantTypes = GrantTypes.ClientCredentials,

                    // 認證金鑰
                    ClientSecrets =
                    {
                        //用Sha256對"secret"進行加密,客戶端必須使用secret金鑰才能成功訪問
                        new Secret("secret".Sha256())
                    },

                    // scopes that client has access to
                    //如果客戶端的金鑰認證成功,限定該金鑰可以訪問的Api範圍
                    AllowedScopes = { "api1" }
                }
            };
        }
    }

注意ClientId(分配給不同客戶端的Id),對應的客戶端呼叫時傳遞過來的ClientId必須一致,否則客戶端發起呼叫時彙報這個錯:

金鑰也是一樣,金鑰是我們分配給客戶端的,客戶端只有給對了我們分配給它的ClientId和金鑰的同時,才能訪問對應的api,所以如果你的金鑰不對,客戶端發起呼叫時也會報這個錯:

 

(5)、配置受保護的Api資源模型

    public class Apis
    {
        //ApiResource -IdentityServer4.Models下的Api資源模型
        public static IEnumerable<ApiResource> GetApiResources()
        {
            return new List<ApiResource>()
            {
                //Api資源模型
                new ApiResource("api1", "My API")
            };
        }
    }

注意ApiRescourse的名稱必須和Client的AllowedScopes屬性對應,否則客戶端呼叫時會報下面這個錯:

 

(6)、驗證服務端是否配置成功

開啟站點,瀏覽器輸入http://localhost:5000/.well-known/openid-configuration,等到如下返回報文說明服務部署成功:

{
   //令牌簽發者,對應StartUp中的Identity Server4中的認證配置
    "issuer":"http://localhost:5000",
    //jwt令牌處理地址
    "jwks_uri":"http://localhost:5000/.well-known/openid-configuration/jwks",
    "authorization_endpoint":"http://localhost:5000/connect/authorize",
    "token_endpoint":"http://localhost:5000/connect/token",
    "userinfo_endpoint":"http://localhost:5000/connect/userinfo",
    "end_session_endpoint":"http://localhost:5000/connect/endsession",
    "check_session_iframe":"http://localhost:5000/connect/checksession",
    "revocation_endpoint":"http://localhost:5000/connect/revocation",
    "introspection_endpoint":"http://localhost:5000/connect/introspect",
    "device_authorization_endpoint":"http://localhost:5000/connect/deviceauthorization",
    "frontchannel_logout_supported":true,
    "frontchannel_logout_session_supported":true,
    "backchannel_logout_supported":true,
    "backchannel_logout_session_supported":true,
    "scopes_supported":[
        "api1",
        "offline_access"
    ],
    "claims_supported":[

    ],
    "grant_types_supported":[
        "authorization_code",
        "client_credentials",
        "refresh_token",
        "implicit",
        "urn:ietf:params:oauth:grant-type:device_code"
    ],
    "response_types_supported":[
        "code",
        "token",
        "id_token",
        "id_token token",
        "code id_token",
        "code token",
        "code id_token token"
    ],
    "response_modes_supported":[
        "form_post",
        "query",
        "fragment"
    ],
    "token_endpoint_auth_methods_supported":[
        "client_secret_basic",
        "client_secret_post"
    ],
    "subject_types_supported":[
        "public"
    ],
    "id_token_signing_alg_values_supported":[
        "RS256"
    ],
    "code_challenge_methods_supported":[
        "plain",
        "S256"
    ]
}

引數含義,自行了解

 

3、實戰一客戶端呼叫受Identity Server4保護的Api資源

(1)、前提

客戶端必須安裝IdentityModel 3.10.4包

 

(2)、呼叫程式碼如下:

    class Program
    {
        static void Main(string[] args)
        {
            Request();
            Console.ReadKey();
        }

        async static void Request()
        {
            //請求Identity Server4服務
            var disco = await DiscoveryClient.GetAsync("http://localhost:5000");
            if (disco.IsError)
            {
                Console.WriteLine(disco.Error);
                return;
            }
            //生成Identity Server4授權的客戶端,通過指定對應的ClientId和金鑰(secret)
            var tokenClient = new TokenClient(disco.TokenEndpoint, "client", "secret");
            var tokenResponse = await tokenClient.RequestClientCredentialsAsync("api1");

            if (tokenResponse.IsError)
            {
                Console.WriteLine(tokenResponse.Error);
                return;
            }
            Console.WriteLine(tokenResponse.Json);

            //通過Identity Server4的認證過後,拿到AccessToken
            var client = new HttpClient();
            client.SetBearerToken(tokenResponse.AccessToken);
            var response = await client.GetAsync("http://localhost:5000/identity");
            if (!response.IsSuccessStatusCode)
            {
                Console.WriteLine(response.StatusCode);
            }
            else
            {
                //認證成功,輸出Identity控制器的返回值
                var content = await response.Content.ReadAsStringAsync();
                Console.WriteLine(JArray.Parse(content));
            }
        }
    }

得到如下報文:

同時檢視Identity Server4服務端的輸出:

第一步:客戶端傳入在Indetity Server4中註冊過的分配給該客戶端的ClientId和金鑰,拿到AccessToken

 

第二步:第一次請求目標控制器,並把AcessToken帶過去

第三步:驗證Token是否有效

第四步:Token有效,開始呼叫Identity控制器方法,並拿到響應值

 大致的流程如上.

相關推薦

Identity Server4學習系列 Identity Server4學習系列 Identity Server4學習系列(Token)的概念

1、簡介 在Identity Server4學習系列一和Identity Server4學習系列二之令牌(Token)的概念的基礎上,瞭解了Identity Server4的由來,以及令牌的相關知識,本文開始實戰,實現Identity Server4基本的功能。   2、前提 本文基於.Ne

學習的正確開啟方式:不要個人偷偷學習

學習的正確開啟方式:不要一個人偷偷學習啦 1.帶著你的朋友學,帶著你的女朋友男朋友來我們51CTO報班學習啦!!!2.帶著你的死黨閨蜜學,報班51CTO,閨蜜一起買買買,死黨一起挖金礦!!!3.老學員帶新學員,報班51CTO,讓我們一起徜徉在知識的海洋吧!!!   獎金幣(

深度學習筆記(基礎篇)——()機器學習與深度學習簡介

  機器學習是最基礎的(當下初創公司和研究實驗室的熱點領域之一)。深度學習是非常嶄新和有影響力的前沿領域。 一、定義 1、機器學習    從樣本中學習的智慧程式。是資料驅動的。90年代初提出。強調的是給計算機程式(或者機器)輸入一些資料後,它學習這些資料,而

Identity Server4學習系列使用者名稱密碼獲得訪問 Identity Server4學習系列

1、簡介 Identity Server4支援使用者名稱密碼模式,允許呼叫客戶端使用使用者名稱密碼來獲得訪問Api資源(遵循Auth 2.0協議)的Access Token,MS可能考慮相容老的系統,實現了這個功能,但是不建議這麼做.   2、實戰一服務端配置 接著Identity Serv

重新學習python系列()? WTF?

nal open python 所有 errors 測試 brush 文件 user 讀取文件: try: f = open(‘/path/to/file‘, ‘r‘) print(f.read()) finally: if f:

ml入門系列監督學習和無監督學習

tex tin swa core logging eba webapi handle 5% %E6%9C%89%E5%85%B3handler%E7%94%A8%E6%B3%95%E6%B1%82%E5%8A%A9%E5%95%8A aspnetcoremvc?????÷

Deep Learning(深度學習學習筆記整理系列

學習能力 架構 -s 解釋 區別 初始化 filter 大牛 ted Deep Learning(深度學習)學習筆記整理系列 聲明: 1)該Deep Learning的學習系列是整理自網上很大牛和機器學習專家所無私奉獻的資料的。具體引用的資料請看參考文獻。具體的版本聲明

[jQuery學習系列 ]3-JQuery學習-字典操作

huang math 喜歡 lec 十分 地址 red gets dao 前言:如果看過了第一篇和第二篇, 相信大家會對jQuery有個初步的認識了, 對於jQuery的選擇器和數組的操作都已經很熟悉了, 這一篇就單獨羅列jQuery中字典的操作相關的內容. 1. 數組中

基於Kubernetes的機器學習微服務系統設計系列——()RESTful微服務框架

 內容提要 微服務框架 框架實現   基於Kubernetes的機器學習微服務系統設計——(1)概念與構想   為了微服務的介面互動統一,本系統採用統一的框架模式。採用Jersey軟體框架,Jersey 是開源的RESTful框架, 實現了J

『PHP學習筆記』系列:函式初步

問題一:  定義一個函式,該函式能夠判斷一個數字是否是一個素數(也叫質數),並利用該函式的功能,輸出2-200之間的所有素數。(注:素數就是隻能被1和它本身整除的數。) 程式碼實現: <?php //定義一個函式能夠判斷一個數字是否是一個素數,並利用該函

webservice 教程學習系列()——關於webservice的幾個問題

1.webservice是什麼 (1)給予web服務,伺服器端整出一些資源讓客戶端應用訪問(獲取資源); (2)一個跨語言、跨平臺的規範(抽象); (3)多個跨平臺、跨語言的應用間通訊整合的方案(實際); 例子:以各大網站需要顯示天氣預報的功能為例: (1)氣象中心需要將收集的天氣

activemq 學習系列() 訊息持久化到MySql資料庫

ActiveMq 訊息持久化到MySql資料庫 1、修改 conf/activemq.xml配置檔案 <persistenceAdapter> <kahaDB directory="${activemq.data}/kahadb"/> </persistence

機器學習環境配置系列Anaconda

1、下載Anaconda檔案 2、安裝anaconda 執行安裝命令 bash Anaconda***.sh 根據安裝提示就可以完成安裝 3、環境配置 echo 'export PATH="/home/使用者名稱/anaconda3/bin:$PATH"'>> ~/.bashrc

pandas系列學習):DataFrame

作者:chen_h 微訊號 & QQ:862251340 微信公眾號:coderpai 如果你正在進行資料科學,從基於 Excel 的分析轉向 Python 指令碼和自動分析領域,你將會遇到非常流行的資料處理方式 Pandas。Pandas 的

(2018乾貨系列)最新PHP學習路線整合

怎麼學PHP PHP是一種通用開源指令碼語言。語法吸收了C語言、Java和Perl的特點,利於學習,使用廣泛,主要適用於Web開發領域。 菜鳥到大神,一步到位,正式開啟乾貨模式: PHP初級開發工程師 PHP課程介紹 B/S和C/S介紹 網際網路發展趨勢 LNMP優勢 PHP就業和薪資情況

深入Java集合學習系列()

4) 讀取: Java程式碼  // 返回此列表中指定位置上的元素。   public E get(int index) {      &nbs

Maven學習總結系列:Maven入門

1.編寫POM Maven專案的核心就是pom.xml,POM(Project Object Model,專案物件模型)定義了專案的基本資訊,用於描述專案如何構建,宣告專案依賴,等等。 還記得我們第一章遇到的問題嗎? 在開發的過程中,我們需要到各個網站上下載第三方的JAR包,隨著專案的慢慢增大,JAR包

SpringBoot 學習系列()

進入如下頁面,點選紅框中的按鈕即可: 2、解壓到某個目錄 3、像配置java環境變數那樣配置Gradle環境變數 3、Path中加入 %GRADLE_HOME%\bin  4、開啟命令列 輸入 gradle -v  IDEA中配置: 開啟 fi

Dlib機器學習學習系列----人臉對齊(特徵點檢測)

        本篇部落格是Dlib庫學習的第三篇---人臉對齊。人臉對齊與人臉檢測工程建立與配置基本相同,在此不再贅述。可參照我上一篇部落格。閒話少說,來點乾貨。      步驟一:建立並配置工程,參照上一篇部落格。      步驟二:下載形狀模型檔案      下載地址

python進階系列學習

python中的閉包 回顧上一節返回函式: #python中的閉包 def f(): print("我是f()函式") def g(): print("我是g()函式,是被f()函式呼叫的") return g #f