2. 程式人生 > >IdentityServer4-EF動態配置Client和對Claims授權(二)

IdentityServer4-EF動態配置Client和對Claims授權(二)

阿新 發佈:2018-12-30
原文: IdentityServer4-EF動態配置Client和對Claims授權(二)

本節介紹Client的ClientCredentials客戶端模式,先看下畫的草圖:

一、在Server上新增動態新增Client的API 介面。

為了方便測試,在Server服務端中先新增swagger,新增流程可參考:https://www.cnblogs.com/suxinlcq/p/6757556.html

 

在ValuesController控制器中注入ConfigurationDbContext上下文,此上下文可用來載入或配置IdentityServer4.EntityFramework的Client、身份資訊、API資源資訊或CORS資料等。

在ValuesController中實新增以下程式碼:

        private ConfigurationDbContext _context;
        public ValuesController(ConfigurationDbContext context)
        {
            _context = context;
        }

新增動態新增Client的API介面:

        [HttpPost]
        public IActionResult Post([FromBody] IdentityServer4.EntityFramework.Entities.Client client)
        {
            
 
var res = _context.Clients.Add(client);
            if(_context.SaveChanges() >0)
                return Ok(true);
            else
                return Ok(false);
        }

控制器程式碼如下:

 

二、對Server上的API進行保護

(1)安裝IdentityServer4.AccessTokenValidation包

(2)在startup.cs中ConfigureServices

方法新增如下程式碼:

            //protect API
            services.AddMvcCore()
            .AddAuthorization()
            .AddJsonFormatters();

            services.AddAuthentication("Bearer")
                .AddIdentityServerAuthentication(options =>
                {
                    options.Authority = "http://localhost:5000";
                    options.RequireHttpsMetadata = false;

                    options.ApiName = "api1";
                });

AddAuthentication把Bearer配置成預設模式,將身份認證服務新增到DI中。

AddIdentityServerAuthentication把IdentityServer的access token新增到DI中,供身份認證服務使用。

(3)在startup.cs中Configure方法新增如下程式碼:

      public void Configure(IApplicationBuilder app, IHostingEnvironment env)
        {
            //if (env.IsDevelopment())
            //{
            //    app.UseDeveloperExceptionPage();
            //}

            //AddSwagger
            app.UseSwagger();
            app.UseSwaggerUI(c =>
            {
                c.SwaggerEndpoint("/swagger/v1/swagger.json", "Server介面文件");
            });

            InitializeDatabase(app);
            app.UseAuthentication();
            app.UseIdentityServer();
            app.UseMvc();
        }

UseAuthentication將身份驗證中介軟體新增到管道中,以便在每次呼叫主機時自動執行身份驗證。

(4)在ValuesController控制器中新增[Authorize]

 

(5)在專案屬性->除錯 中,啟動瀏覽器,並設成swagger,如圖:

(6)啟動專案,並呼叫第一個Get介面。

顯示Unauthorized(未授權),證明[Authorize]起作用了。

 

三、搭建Client客戶端

(1)新建一個控制檯程式,安裝IdentityModel包

(2)新增類IDSHelper.cs,新增客戶端請求API介面程式碼。

public class IDSHelper
    {
        public static async Task MainAsync()
        {
            try
            {
                DiscoveryResponse disco = await DiscoveryClient.GetAsync("http://localhost:5000");
                if (disco.IsError)
                {
                    Console.WriteLine(disco.Error);
                    return;
                }

                TokenClient tokenClient = new TokenClient(disco.TokenEndpoint, "Client", "secret");
                var tokenResponse = await tokenClient.RequestClientCredentialsAsync("api1");

                if (tokenResponse.IsError)
                {
                    Console.WriteLine(tokenResponse.Error);
                    return;
                }
                Console.WriteLine(tokenResponse.Json);
                var client = new HttpClient();
                client.SetBearerToken(tokenResponse.AccessToken);
                var response = await client.GetAsync("http://localhost:5000/api/values/");
                if (!response.IsSuccessStatusCode)
                {
                    Console.WriteLine(response.StatusCode);
                }
                else
                {
                    var content = await response.Content.ReadAsStringAsync();
                    Console.WriteLine(content);
                }
            }
            catch (Exception ex)
            {

            }
        }
}

(3)修改Program.cs程式碼,如下:

class Program
    {
        static void Main(string[] args)
       => IDSHelper.MainAsync().GetAwaiter().GetResult();
    }

(4)按Ctrl+F5,可以獲取到access token和介面返回值

複製token,用postman呼叫,成功獲取到了介面返回值。

 

四、測試動態新增Client介面

安裝IdentityServer4包。

安裝IdentityServer4.EntityFramework包。

在IDSHelper.cs類中新增Post方法:

public static async Task Post()
        {
            try
            {
                DiscoveryResponse disco = await DiscoveryClient.GetAsync("http://localhost:5000");
                if (disco.IsError)
                {
                    Console.WriteLine(disco.Error);
                    return;
                }

                TokenClient tokenClient = new TokenClient(disco.TokenEndpoint, "Client", "secret");
                var tokenResponse = await tokenClient.RequestClientCredentialsAsync("api1");

                if (tokenResponse.IsError)
                {
                    Console.WriteLine(tokenResponse.Error);
                    return;
                }
                Console.WriteLine(tokenResponse.Json);
                var client = new HttpClient();
                client.SetBearerToken(tokenResponse.AccessToken);

                Client c1 = new Client
                {
                    ClientId = "Test",
                    AllowedGrantTypes = GrantTypes.ClientCredentials,
                    ClientSecrets =
                    {
                        new Secret("secret".Sha256())
                    },
                    AllowedScopes = { "api1" }
                };
                string strJson = JsonConvert.SerializeObject(c1 .ToEntity());
                HttpContent content = new StringContent(strJson);
                content.Headers.ContentType = new System.Net.Http.Headers.MediaTypeHeaderValue("application/json");
                //由HttpClient發出Post請求
                Task<HttpResponseMessage> response = client.PostAsync("http://localhost:5000/api/values/", content);

                if (response.Result.StatusCode != System.Net.HttpStatusCode.OK)
                {
                    Console.WriteLine(response.Result.StatusCode);
                }
                else
                {
                    Console.WriteLine(response.Result.Content.ReadAsStringAsync().Result);
                }
            }
            catch (Exception ex)
            {

            }
        }

順便把main中改成對Post呼叫:

static void Main(string[] args)

       => IDSHelper.Post().GetAwaiter().GetResult();

按Ctrl+F5,呼叫新增Client的介面,併成功返回true。

同時可以在資料庫中的Client表找到相關記錄。需要注意的是,不能新增相同Client ID的Client。

 

五、在Client中新增Claim資訊,並在API介面中對Claim資訊進行驗證。

關於Claim的介紹可以看這篇文章:http://www.cnblogs.com/stulzq/p/8726002.html

這裡把Claim簡單當做使用者的身份資訊使用,修改Post方法裡面的Client:

                Client c1 = new Client
                {
                    ClientId = "superAdmin",
                    AllowedGrantTypes = GrantTypes.ClientCredentials,
                    ClientSecrets =
                    {
                        new Secret("secret".Sha256())
                    },
                    AllowedScopes = { "api1" },
                    Claims = new List<Claim>
                    {
                        new Claim(JwtClaimTypes.Role, "admin")
                    }
                };

可以看出,Claims為List,可以是很多個角色,這裡只新增一個。

Ctrl+F5,執行成功新增superAdmin Client。

 

現在,需要對Server服務端的新增Client介面進行Claim身份驗證,新增如下程式碼:

   [Authorize(Roles ="admin")]

然後再客戶端修改授權的賬號為superadmin。

TokenClient tokenClient = new TokenClient(disco.TokenEndpoint, "superAdmin", "secret");

Ctrl+F5執行

問題出現了,返回了Forbidden,沒有許可權進行訪問。

這時候我們上官網查閱了資料,發現在新增Client的Claim時候,IdentityServer EntityFramework會為Claim的role新增一個預設字首,為client_。所以,實際上它為client_role

而服務端只能對role進行驗證。

此時我們需要把Claim的預設字首去掉,設定為空ClientClaimsPrefix = ""

 

去掉Server的Role驗證,新增形如下面程式碼的Client。

Client c1 = new Client
                {
                    ClientId = "adminClient",
                    AllowedGrantTypes = GrantTypes.ClientCredentials,
                    ClientSecrets =
                    {
                        new Secret("secret".Sha256())
                    },
                    AllowedScopes = { "api1" },
                    Claims = new List<Claim>
                    {
                        new Claim(JwtClaimTypes.Role, "admin")
                    },
                    ClientClaimsPrefix = "" //把client_ 字首去掉
                };

 Ctrl+F5,執行成功新增adminClient Client,這次的是Role為admin。

然後重新再Server服務端加上[Authorize(Roles ="admin")]

同時修改驗證賬號為adminClient。

TokenClient tokenClient = new TokenClient(disco.TokenEndpoint, "adminClient", "secret");

最後執行程式,成功地在[Authorize(Roles ="admin")]許可權下訪問並新增了Client。

 

六、需要注意的問題

(1)新增Client到資料庫時候,這裡需要接收IdentityServer4.EntityFramework.Entities.Client

而不是IdentityServer4.Models.Client,否則API介面在接收和轉化Client模型的時候會報錯。

(2)此外,本節介紹的Client的AllowedGrantTypes 都為 GrantTypes.ClientCredentials,相應的,客戶端請求是,需要用RequestClientCredentialsAsync方法。

最後再次提下,ClientCredentials模式的適用場景:用於和使用者無關,服務與服務之間直接互動訪問資源

 

Server服務端原始碼地址:https://github.com/Bingjian-Zhu/Server

Client客戶端原始碼地址:https://github.com/Bingjian-Zhu/Client

文中如有錯漏,歡迎指正。

相關推薦

IdentityServer4-EF動態配置ClientClaims授權

原文: IdentityServer4-EF動態配置Client和對Claims授權(二) 本節介紹Client的ClientCredentials客戶端模式,先看下畫的草圖: 一、在Server上新增動態新增Client的API 介面。 為了方便測試,在Server服務端中先新增swagger,新

TCP clientserver 程式例子

tcp和udp的程式就不貼了,網上例程太多,放在附件裡。下面分別說一下流程和細節tcp服務端流程:1、建立socket(socket函式)2、設定服務端sockaddr_in結構體,並繫結到第一步的socket(bind函式) 3、設定客戶端資訊佇列長度,也就是已經建立連線

solr搜索之demo集成IKAnalyzer

solr solr搜索 ikanalyzer分詞器 ikanalyzer 1 新建demo-solr關閉運行的solr應用。進入solr目錄:D:\solr-4.10.2\example1、在example目錄下創建demo-solr文件夾;2、將./solr下的solr.xml拷貝

grunt 合並壓縮jscss文件

1.0 ajax depend cnp com .html post tle runt 具體node及文件配置請看: grunt 安裝使用(一) 要壓縮的文件 --src/ ajax.js assets.js touch.js zepto.js

面向象篇

這就是 cti spa arr 指向 完整 一個 demo easy 那麽怎麽來寫一個面向對象的程序呢?先別急 我們先說一下面向對象的組成 1,屬性:對象下面的變量,我們叫做屬性 2,方法:對象下面的函數,我們叫做方法 我們來看一個例子 var arr = []; arr

按鈕配置之自定義按鈕使用——JEPLUS軟件快速開發平臺

bottom vpd 開發平臺 rem 按鈕 ros cto -c spa JEPLUS按鈕配置之自定義按鈕使用(二)之前的一篇筆記講的是在列表上添加自定義按鈕來完成自己的業務需求,今天這篇筆記就主要講一下如何在表

python多線程多進程

模型 pre 否則 sel main 競爭 並發執行 turn 定制 ---恢復內容開始--- 一、多進程   1、multiprocessing模塊用來開啟子進程,並在子進程中執行我們定制的任務(比如函數),該模塊與多線程模塊threading的編程接口類似。 impo

匯編語言--CPU資源存儲器

direct 公式 專用 例子 1-1 star display 獲得 而且 二、CPU資源和存儲器 需要訪問的硬件資源主要有:CPU內部資源、存儲器和I/O端口。 1、寄存器組 (1)16位寄存器組 16位CPU所含有的寄存器有(見圖2.1中16位寄存器部分): 4個數據

Tomcat配置與優化以及遠端debug

Tomcat IO優化 1.BIO方式 BIO方式適用於連線數目比較小且固定的架構,即阻塞式I/O操作, 基於JAVA的HTTP/1.1聯結器  ,這種方式對伺服器資源要求比較高,併發侷限於應用中,JDK1.4以前的唯一選擇,但程式直觀簡單易理解.一個執行緒處理一個請求。缺點:

ASP.NETCore MVC Visual Studio入門新增控制器

ASP.NETCore MVC 和 Visual Studio入門(二)  新增控制器 Rick Anderson     Model-View-Controller(MVC) 結構模式將一個應用分離為三個主要部分:模型(M)、檢視(V)和控制器

卷積神經網路CNN的前向後向傳播

卷積神經網路CNN的前向和後向傳播(二) padding=1,stride=1的情形 輸入為8x8和卷積核3x3 對輸入的求導 對卷積核的求導 本文在卷積神經網路CNN的前向和後向傳播(一)的基礎上做一些擴充套件

CC++的區別

1、引用 引用就是個別名,記憶體單元的別名,底層以指標的方式來支援引用,在引用使用的地方,系統自帶解引用的過程。 int a = 10; int &b = a; a和b是同一個記憶體塊 引用的注意事項: 引用一定要初始化 引用引用的變數要能取地址 引用是

htmlcss學習筆記

1表格 1.1table tr td 1.2表格屬性 width border align="center" cellspacing 單元格邊框和單元格邊框之間的距離 cellpadding 單元格內容與單元格邊框之間的距離 *三參為0 border cellspaci

Adreno GPU Profiler Snapdragon Profiler 實戰轉載

    轉載 https://www.csdn.net/article/a/2015-08-05/15826957 Snapdragon Profiler是一款系統配置和除錯工具,旨在幫助開發人員優化Snapdragon處理器驅動裝置中的應用程式。這

PythonJava程式設計題

題目:古典問題:有一對兔子,從出生後第3個月起每個月都生一對兔子,小兔子長到第三個月後每個月又生一對兔子,假如兔子都不死,問每個月的兔子總數為多少? 兔子的規律為數列1,1,2,3,5,8,13,21.... 觀察規律,可以發現,自從第三個月開始,每個月的兔子總數為前兩個月兔子總數之和。 Java實現

Apache Kafka入門教程輕鬆學-第四章 Kafka核心元件流程-設計-原理協調器消費者組協調器

本入門教程,涵蓋Kafka核心內容,通過例項和大量圖表,幫助學習者理解,任何問題歡迎留言。 目錄: 上一節介紹了kafka工作的核心元件--控制器。本節將介紹消費者密切相關的元件--協調器。它負責消費者的出入組工作。大家可以回想一下kafka核心概念中關於吃蘋果的場景,如

通過語句新建資料庫表空間,新建使用者及使用者授權oracle

1.新建表空間(地址類比進行更換) CREATE TABLESPACE 表空間名字     LOGGING      DATAFILE 'D:\app\Administrator

Windows10下python3python2同時安裝python2.exe、python3.exepip2、pip3設定

Windows10下python3和python2同時安裝(二)python2.exe、python3.exe和pip2、pip3設定說明:安裝安裝python3和python2請參考本系列教程(一)1

一步一步開發Game伺服器載入指令碼伺服器熱更新完整版

可是在使用過程中,也許有很多會發現,動態載入dll其實不方便,應為需要預先編譯程式碼為dll檔案。便利性不是很高。 那麼有麼有辦法能做到動態實時更新呢???? 官方提供了這兩個物件,動態編譯原始檔。 提供對 C# 程式碼生成器和程式碼編譯器的例項的訪問。 CSharpCodeProvider

Linux動態連結庫同名符號裝載問題

上一篇《Linux動態連結庫同名符號裝載問題(一)》中提到了動態連結的一些問題,本文主要討論動態載入時符號衝突的問題。PART1:RTLD_DEEPBIND開啟動態連結導致段錯誤的現象可執行程式A通過dlopen動態載入library.so,有可能出現library.so中和