2. 程式人生 > >ASP.NET Core的身份認證框架IdentityServer4(9)-使用OpenID Connect新增使用者認證

ASP.NET Core的身份認證框架IdentityServer4(9)-使用OpenID Connect新增使用者認證

阿新 發佈:2018-12-25
原文: ASP.NET Core的身份認證框架IdentityServer4(9)-使用OpenID Connect新增使用者認證

OpenID Connect

OpenID Connect 1.0是OAuth 2.0協議之上的一個簡單的身份層。 它允許客戶端基於授權伺服器執行的身份驗證來驗證終端使用者的身份,以及以可互操作和類似REST的方式獲取關於終端使用者的基本配置檔案資訊。

OpenID Connect允許所有型別的客戶端(包括基於Web的移動和JavaScript客戶端)請求和接收關於認證會話和終端使用者的資訊。 規範套件是可擴充套件的,允許參與者使用可選功能,例如身份資料的加密,OpenID提供商的發現和會話管理。

OpenID Connect 和 OAuth的關係

OpenID Connect 在OAuth2上構建了一個身份層,是一個基於OAuth2協議的身份認證標準協議。我們都知道OAuth2是一個授權協議,它無法提供完善的身份認證功能,OpenID Connect 使用OAuth2的授權伺服器來為第三方客戶端提供使用者的身份認證,並把對應的身份認證資訊傳遞給客戶端,且可以適用於各種型別的客戶端(比如服務端應用,移動APP,JS應用),且完全相容OAuth2,也就是說你搭建了一個OpenID Connect 的服務後,也可以當作一個OAuth2的服務來用。應用場景如圖
(摘自:http://www.cnblogs.com/linianhui/archive/2017/05/30/openid-connect-core.html)

簡而言之,OpenID Connect是在OAuth2.0上進行的一個擴充套件協議,OpenID Connect=Identity +OAuth 2.0,OpenID Connect主要用於身份認證(Authentication),OAuth主要用於授權(Authorization)。

更深入瞭解OpenID Connect和OAuth,如果你準備使用IdentityServer4,十分推薦閱讀這幾篇文章:http://www.cnblogs.com/linianhui/category/929878.html 。

建立一個MVC客戶端

1.新建一個ASP.NET Core MVC應用程式

2.配置 OpenID Connect 認證

在類StartupConfigureServices方法中新增以下程式碼:

public void ConfigureServices(IServiceCollection services)
{
    services.AddMvc();

    JwtSecurityTokenHandler.DefaultInboundClaimTypeMap.Clear();

    services.AddAuthentication(options =>
    {
        options.DefaultScheme = "Cookies";
        options.DefaultChallengeScheme = "oidc";
    })
    .AddCookie("Cookies")
    .AddOpenIdConnect("oidc", options =>
    {
        options.SignInScheme = "Cookies";

        options.Authority = "http://localhost:5000";
        options.RequireHttpsMetadata = false;

        options.ClientId = "mvc";
        options.SaveTokens = true;
    });
}

AddAuthentication將認證服務新增到依賴注入容器中,使用Cookie作為驗證使用者的主要方法(通過"Cookies"作為 DefaultScheme)。

DefaultChallengeScheme 設定為"oidc"(OIDC是OpenID Connect的簡稱),因為當我們需要使用者登入時,我們將使用OpenID Connect方案。

然後我們使用AddCookie新增可以處理Cookie的處理程式。

最後,AddOpenIdConnect用於配置執行OpenID Connect協議的處理程式。Authority表示id4服務的地址。 然後我們通過ClientId識別該客戶端。SignInScheme 用於在OpenID Connect協議完成後使用cookie處理程式發出cookie。 而SaveTokens用於在Cookie中儲存IdentityServer中的令牌(稍後將需要)。

然後確保在每個請求上執行認證服務,在Startup中的Configure方法新增UseAuthentication

public void Configure(IApplicationBuilder app, IHostingEnvironment env)
{
    if (env.IsDevelopment())
    {
        app.UseDeveloperExceptionPage();
    }
    else
    {
        app.UseExceptionHandler("/Home/Error");
    }

    app.UseAuthentication();

    app.UseStaticFiles();
    app.UseMvcWithDefaultRoute();
}

驗證中介軟體應該在MVC之前新增。

最後一步是觸發認證。為了進入HomeController,並在其中一個Action上新增特性[Authorize]

還要修改該Action的View以顯示使用者的資訊,例如:

<dl>
    @foreach (var claim in User.Claims)
    {
        <dt>@claim.Type</dt>
        <dd>@claim.Value</dd>
    }
</dl>

如果您現在使用瀏覽器訪問HomeController,將會導致重定向到IdentityServer,這將導致錯誤,因為MVC客戶端尚未註冊。

新增OpenID Connect Identity Scopes的支援

與OAuth 2.0類似,OpenID Connect也使用Scopes概念。 再次,Scopes代表您想要保護的客戶端希望訪問的內容。 與OAuth相反,OIDC中的範圍不代表API,而是代表使用者ID,姓名或電子郵件地址等身份資訊。

Config.cs中新增如下程式碼:

public static IEnumerable<IdentityResource> GetIdentityResources()
{
    return new List<IdentityResource>
    {
        new IdentityResources.OpenId(),
        new IdentityResources.Profile(),
    };
}

所有標準Scopes及其相應的宣告都可以在OpenID Connect規範中找到。

然後,您需要將這些身份資源新增到Startup.cs中的IdentityServer配置中。使用AddInMemoryIdentityResources擴充套件方法呼叫AddIdentityServer()

public void ConfigureServices(IServiceCollection services)
{
    services.AddMvc();

    // configure identity server with in-memory stores, keys, clients and scopes
    services.AddIdentityServer()
        .AddDeveloperSigningCredential()
        .AddInMemoryIdentityResources(Config.GetIdentityResources())
        .AddInMemoryApiResources(Config.GetApiResources())
        .AddInMemoryClients(Config.GetClients())
        .AddTestUsers(Config.GetUsers());
}

為OpenID Connect implicit flow 新增客戶端

Implicit Flow指的是使用OAuth2的Implicit流程獲取Id Token和Access Token

最後一步是將MVC客戶端的配置新增到IdentityServer。

基於OpenID Connect的客戶端與我們迄今新增的OAuth 2.0客戶端非常相似。 但是由於OIDC中的流程始終是互動式的,我們需要在配置中新增一些重定向URL。

將以下內容新增到您的客戶端配置:

public static IEnumerable<Client> GetClients()
{
    return new List<Client>
    {
        // other clients omitted...

        // OpenID Connect implicit flow client (MVC)
        new Client
        {
            ClientId = "mvc",
            ClientName = "MVC Client",
            AllowedGrantTypes = GrantTypes.Implicit,

            // where to redirect to after login
            RedirectUris = { "http://localhost:5002/signin-oidc" },

            // where to redirect to after logout
            PostLogoutRedirectUris = { "http://localhost:5002/signout-callback-oidc" },

            AllowedScopes = new List<string>
            {
                IdentityServerConstants.StandardScopes.OpenId,
                IdentityServerConstants.StandardScopes.Profile
            }
        }
    };
}

測試客戶端

通過訪問受保護的Action來觸發身份驗證握手。 你應該看到重定向到IdentityServer的登入頁面。

成功登入後,使用者將看到同意畫面。 在這裡,使用者可以決定是否要將他的身份資訊釋出到客戶端應用程式。

可以使用客戶端物件上的RequireConsent屬性以每個客戶端為基礎關閉同意詢問。

最後瀏覽器重定向到客戶端應用程式,該應用程式顯示了使用者的宣告。

在開發過程中,您有時可能會看到一個異常,說明令牌無法驗證。 這是因為簽名金鑰資訊是即時建立的,並且只儲存在記憶體中。 當客戶端和IdentityServer不同步時,會發生此異常。 只需在客戶端重複操作,下次元資料已經追上,一切都應該正常工作。

添加註銷

最後一步是給MVC客戶端添加註銷功能。

使用IdentityServer等身份驗證服務,僅清除本地應用程式Cookie是不夠的。 此外,您還需要往身份伺服器互動,以清除單點登入會話。

確切的協議步驟在OpenID Connect中介軟體內實現,只需將以下程式碼新增到某個控制器即可觸發登出:

public async Task Logout()
{
    await HttpContext.SignOutAsync("Cookies");
    await HttpContext.SignOutAsync("oidc");
}

這將清除本地cookie,然後重定向到IdentityServer。 IdentityServer將清除它的cookie,然後給使用者一個連結返回到MVC應用程式。

進一步實驗

如上所述,OpenID Connect中介軟體預設要求配置 profile scope。 這個scope還包括像名字或網站這樣的宣告。

讓我們將這些宣告新增到使用者,以便IdentityServer可以將它們放入身份令牌中:

public static List<TestUser> GetUsers()
{
    return new List<TestUser>
    {
        new TestUser
        {
            SubjectId = "1",
            Username = "alice",
            Password = "password",

            Claims = new []
            {
                new Claim("name", "Alice"),
                new Claim("website", "https://alice.com")
            }
        },
        new TestUser
        {
            SubjectId = "2",
            Username = "bob",
            Password = "password",

            Claims = new []
            {
                new Claim("name", "Bob"),
                new Claim("website", "https://bob.com")
            }
        }
    };
}

下一次您進行身份驗證時,你的宣告頁面現在將顯示額外的宣告。

OpenID Connect中介軟體上的Scope屬性是您配置哪些Scope將在身份驗證期間傳送到IdentityServer。

值得注意的是,對令牌中身份資訊的遍歷是一個擴充套件點 - IProfileService。因為我們正在使用 AddTestUser,所以預設使用的是 TestUserProfileService。你可以檢出這裡的原始碼來檢視它的工作原理。

地址

Demo下載地址:https://github.com/IdentityServer/IdentityServer4.Samples/tree/release/Quickstarts/3_ImplicitFlowAuthentication

參考官方文件:https://identityserver4.readthedocs.io/en/release/quickstarts/3_interactive_login.html

官方的Demo已經更新到最新的.NET Core 2.0 所以我不在單獨寫Demo 了,直接用的官方的。

相關推薦

ASP.NET Core身份認證框架IdentityServer49-使用OpenID Connect新增使用者認證

原文: ASP.NET Core的身份認證框架IdentityServer4(9)-使用OpenID Connect新增使用者認證 OpenID Connect OpenID Connect 1.0是OAuth 2.0協議之上的一個簡單的身份層。 它允許客戶端基於授權伺服器執行的身份驗證來驗證終端使用者的

ASP.NET Core on K8S深入學習9Secret & Configmap

本篇已加入《.NET Core on K8S學習實踐系列文章索引》,可以點選檢視更多容器化技術相關係列文章。 一、Secret 1.1 關於Secret   在應用啟動過程中需要一些敏感資訊,比如資料庫使用者名稱、密碼,如果直接明文儲存在容器映象中是不安全的,K8S提供的方案是Secret。   

ASP.NET Core身份認證框架IdentityServer43-術語的解釋

IdentityServer4 術語 IdentityServer4的規範、文件和物件模型使用了一些你應該瞭解的術語。 身份認證伺服器(IdentityServer) IdentityServer是一個OpenID Connect提供程式,它實現了OpenID Connect 和 OAuth 2.0 協議。

ASP.NET Core AD 域登錄 轉載

valid option port sys apu exc wan 自帶 驗證用戶名 在選擇AD登錄時,其實可以直接選擇 Windows 授權,不過因為有些網站需要的是LDAP獲取信息進行授權,而非直接依賴Web Server自帶的Windows 授權功能。 當然如

Asp.Net Core 程式部署到Linuxcentos生產環境:docker部署

執行環境 照例,先亮環境;軟體的話我這裡假設你已經批准好了.net core 執行環境,未配置可以看我的這篇[linux(centos)搭建.net core 執行環境] 騰訊雲 centos:7.2 cpu:1核 2G記憶體 1M頻寬 docker:18.06.1-ce 安裝dock

Asp.Net Core 程序部署到Linuxcentos生產環境:docker部署

大神 生產環境 blog for 服務器 路徑 結構 dot images 運行環境 照例,先亮環境;軟件的話我這裏假設你已經批準好了.net core 運行環境,未配置可以看我的這篇[linux(centos)搭建.net core 運行環境] 騰訊雲 centos

asp.net core合併壓縮資原始檔轉載

在asp.net core中使用BuildBundlerMinifier合併壓縮資原始檔 在asp.net mvc中可以使用Bundle來壓縮合並css,js 不知道的見:http://www.cnblogs.com/morang/p/7207176.html在asp.net core中則可以使用Bui

asp.net core webapi之跨域Cors訪問

這裡說的跨域是指通過js在不同的域之間進行資料傳輸或通訊,比如用ajax向一個不同的域請求資料,或者通過js獲取頁面中不同域的框架中(iframe)的資料。只要協議、域名、埠有任何一個不同,都被當作是不同的域。 預設瀏覽器是不支援直接跨域訪問的。但是由於種種原因我們又不得不進行跨域訪問,比如當前後端

ASP.NET Core 中斷請求瞭解一下翻譯

本文所講方式僅適用於託管在Kestrel Server中的應用。如果託管在IIS和IIS Express上時,ASP.NET Core Module(ANCM)並不會告訴ASP.NET Core在客戶端斷開連線時中止請求。但可喜的是,ANCM預計在.NET Core 2.2中會完善這一機制。 1. 引言

ASP.NET Core微服務 on K8SJessetalk第一章:詳解基本物件及服務發現持續更新

課程連結:http://video.jessetalk.cn/course/explore 良心課程,大家一起來學習哈! 任務1:課程介紹 任務2:Labels and Selectors 所有資源物件(包括Pod, Service, Namespace, Volume)都可以打

ASP.NET Core中的依賴注入3: 服務的註冊與提供

在採用了依賴注入的應用中,我們總是直接利用DI容器直接獲取所需的服務例項,換句話說,DI容器起到了一個服務提供者的角色,它能夠根據我們提供的服務描述資訊提供一個可用的服務物件。ASP.NET Core中的DI容器體現為一個實現了IServiceProvider介面的物件。 ServiceProvider與

ASP.NET Core中的依賴注入2:依賴注入DI

IoC主要體現了這樣一種設計思想:通過將一組通用流程的控制從應用轉移到框架之中以實現對流程的複用,同時採用“好萊塢原則”是應用程式以被動的方式實現對流程的定製。我們可以採用若干設計模式以不同的方式實現IoC,比如我們在上面介紹的模板方法、工廠方法和抽象工廠,接下來我們介紹一種更為有價值的IoC模式,即依賴注入

ASP.NET Core中的依賴注入1:控制反轉IoC

ASP.NET Core在啟動以及後續針對每個請求的處理過程中的各個環節都需要相應的元件提供相應的服務,為了方便對這些元件進行定製,ASP.NET通過定義介面的方式對它們進行了“標準化”,我們將這些標準化的元件稱為服務,ASP.NET在內部專門維護了一個DI容器來提供所需的服務。要了解這個DI容器以及現實其中

ASP.NET Core中的依賴注入4: 建構函式的選擇與服務生命週期管理

ServiceProvider最終提供的服務例項都是根據對應的ServiceDescriptor建立的,對於一個具體的ServiceDescriptor物件來說,如果它的ImplementationInstance和ImplementationFactory屬性均為Null,那麼ServiceProvider

ASP.NET Core中的依賴注入5:ServicePrvider實現揭祕【補充漏掉的細節】

到目前為止,我們定義的ServiceProvider已經實現了基本的服務提供和回收功能,但是依然漏掉了一些必需的細節特性。這些特性包括如何針對IServiceProvider介面提供一個ServiceProvider物件,何建立ServiceScope,以及如何提供一個服務例項的集合。 一、提供一個Serv

ASP.NET Core中的依賴注入5: ServiceProvider實現揭祕 【總體設計 】

本系列前面的文章我們主要以程式設計的角度對ASP.NET Core的依賴注入系統進行了詳細的介紹,如果讀者朋友們對這些內容具有深刻的理解,我相信你們已經可以正確是使用這些與依賴注入相關的API了。如果你還對這個依賴注入系統底層的實現原理具有好奇心,可以繼續閱讀這一節的內容。 目錄一、ServiceCall

ASP.NET Core中的依賴注入5: ServiceProvider實現揭祕 【解讀ServiceCallSite 】

通過上一篇的介紹我們應該對實現在ServiceProvider的總體設計有了一個大致的瞭解,但是我們刻意迴避一個重要的話題,即服務例項最終究竟是採用何種方式提供出來的。ServiceProvider最終採用何種方式提供我們所需的服務例項取決於最終選擇了怎樣的ServiceCallSite,而服務註冊是採用的S

使用 ASP.NET Core MVC 建立 Web API

使用 ASP.NET Core MVC 建立 Web API 使用 ASP.NET Core MVC 建立 Web API(一) 使用 ASP.NET Core MVC 建立 Web API(二)  使用 ASP.NET Core MVC 建立 Web API(三) 使用 ASP.NET C

8ASP.NET Core 中的MVC路由

1.前言 ASP.NET Core MVC使用路由中介軟體來匹配傳入請求的URL並將它們對映到操作(Action方法)。路由在啟動程式碼(Startup.Configure方法)或屬性(Controller Action屬性)中定義。路由描述應如何將URL路徑與操作(Action方法)相匹配。它還用於在響應

9ASP.NET Core 中的MVC路由

 1.URL生成 MVC應用程式可以使用路由的URL生成功能,生成指向操作(Action)的URL連結。 IUrlHelper 介面用於生成URL,是MVC與路由之間的基礎部分。在控制器、檢視和檢視元件中,可通過Url屬性找到IUrlHelper的例項。在此示例中,將通過Controller.Ur