Identity Server 4 - Hybrid Flow - 保護API資源

阿新 • • 發佈：2018-07-07

還需 defaults rest 兩個 ade die tar try 意思

這個系列文章介紹的是Identity Server 4 的 Hybrid Flow, 前兩篇文章介紹了如何保護MVC客戶端, 本文介紹如何保護API資源.

保護MVC客戶端的文章: https://www.cnblogs.com/cgzl/p/9253667.html, https://www.cnblogs.com/cgzl/p/9268371.html

相關代碼: https://github.com/solenovex/Identity-Server-4-Tutorial-Code 裏面03那部分.

回顧 Hybrid Flow

回顧一下該項目使用的流程

技術分享圖片

圖裏有IDP (Identity Provider, 我例子裏是用Identity Server 4構建的項目)和客戶端(我的例子裏是MVC客戶端).

在上面流程走完之後, MVC客戶端獲得了Access Token, MVC客戶端驗證Access Token並成功後, 就可以使用Access Token來訪問被保護的API資源了, 而Access Token會在被保護的API那裏再次進行驗證.

保護API

首先在IDP裏配置一個返回ApiResoruce的方法:

技術分享圖片

和IdentityResource類似, ApiResource就是與API相關的scopes.

在Client配置那裏, 把這個ApiResource的名字添加到允許的scopes裏:

技術分享圖片

最後在IDP的startup裏, 註冊ApiResources:

技術分享圖片

現在來到MVC客戶端這裏, 需要把上面的scope添加上:

技術分享圖片

最後來到API項目, 首先確保使用HTTPS:

技術分享圖片

API項目還需要安裝IdentityServer4.AccessTokenValidation這個包, 可以通過Nuget安裝.

安裝後, 還需要進行配置 (官方文檔: https://identityserver4.readthedocs.io/en/release/quickstarts/1_client_credentials.html#adding-an-api):

技術分享圖片

其中IdentityServerAuthenticationDefaults.AuthenticationScheme 就是 “Bearer” 的意思, 這裏使用的就是這個方案.

AddIdentityServerAuthentication()方法註冊了Access Token 驗證的處理者. 裏面Authority就是IDP的URI, ApiName就是IDP裏配置的API的名字.

在Startup的Configure方法裏, 還需要把它添加到管道:

技術分享圖片

要確保它在UseMVC之前調用.

我在API項目裏使用過濾器為所有的Controller都加上了授權過濾:

技術分享圖片

當然也可以在具體的Controller或Action級寫上這個:

技術分享圖片

無論如何現在訪問Country資源是需要授權的.

回到MVC客戶端, 在Home的Contact Action裏調用CountryAPI資源:

技術分享圖片

下面測試一下未使用Access Token訪問被保護的Country資源的情況, 重新操作可以看到用戶同意授權頁面出現了剛才配置的API資源名:

技術分享圖片

在訪問Contact頁面的時候, 提示未授權:

技術分享圖片

那就用之前介紹過的方法來獲取Access Token並設置Authorization Header為 “Bearer [AccessToken]” 即可:

技術分享圖片

再修改一下Contact頁面, 顯示Access Token:

技術分享圖片

重新操作, 就可以看到Country資源數據了:

技術分享圖片

Access Token

去jwt.io對Access Token進行解碼:

技術分享圖片

看一下aud (audience, 觀眾) 這個屬性, 它有兩個值, 第一個是指IDP那邊對資源 (調用用戶信息端點), 第二個就是指API那個項目.

這個屬性說明這個access token是為它們倆準備的.

而scope裏面的“restapi”就是aud裏面的“restapi”, 所以這個token允許被用來訪問我們的“restapi”.

而scope裏面的“profile”等scopes是對應另一個aud的值, 這些scopes來自IDP那裏.

現在Access Token有這些claims, API也就能得到這些claims, 但是有時API還需要用戶身份相關的claims.

修改IDP的ApiResource配置即可:

技術分享圖片

再次操作後, 查看token, 就可以看到我剛剛添加的那兩個claim了:

技術分享圖片

而role這個claim, 在API裏是可以被識別成角色的, 如果我在API的Action上設置權限如下:

技術分享圖片

那麽, Nick這個用戶就可以得到Country數據, 而Dave則會顯示403 Forbidden:

技術分享圖片

Identity Server 4 - Hybrid Flow - 保護API資源

還需 defaults rest 兩個 ade die tar try 意思這個系列文章介紹的是Identity Server 4 的 Hybrid Flow, 前兩篇文章介紹了如何保護MVC客戶端, 本文介紹如何保護API資源. 保護MVC客戶端的文章: https:

用 Identity Server 4 (JWKS 端點和 RS256 演算法) 來保護 Python web api

目前正在使用asp.net core 2.0 (主要是web api)做一個專案, 其中一部分功能需要使用js客戶端呼叫python的pandas, 所以需要建立一個python 的 rest api, 我暫時選用了hug, 官網在這: http://www.hug.rest/. 目前專案使用的是ide

學習Identity Server 4的預備知識

發布開發簡單的密碼是否 alt imp load 通信我要使用asp.net core 2.0 web api 搭建一個基礎框架並立即應用於一個實際的項目中去. 這裏需要使用identity server 4 做單點登陸. 下面就簡單學習一下相關的預備知識. 基於

使用Identity Server 4建立Authorization Server (2)

可能參數 ecif fig register startup 類型 cal mat 第一部分: http://www.cnblogs.com/cgzl/p/7780559.html 第一部分主要是建立了一個簡單的Identity Server. 接下來繼續: 建立Web

使用Identity Server 4建立Authorization Server (5)

連接字符串 mapr path 框架 ise network edit setting pin 預備知識: http://www.cnblogs.com/cgzl/p/7746496.html 第一部分: http://www.cnblogs.com/cgzl/p/7780

使用Identity Server 4建立Authorization Server (6) - js(angular5) 客戶端

include 節點 ogr 包含發的 for icon ets list 預備知識: http://www.cnblogs.com/cgzl/p/7746496.html 第一部分: http://www.cnblogs.com/cgzl/p/7780559.html

要用Identity Server 4 -- OAuth 2.0 超級簡介

分隔理解大小很多應用程序 identity 復制字符串返回 OAuth 2.0 簡介 OAuth有一些定義: OAuth 2.0是一個委托協議, 它可以讓那些控制資源的人允許某個應用以代表他們來訪問他們控制的資源, 註意是代表這些人, 而不是假冒或模仿這些人

eShopOnContainers 看微服務③：Identity Service OAuth 2.0 簡介 OpenID Connect 簡介 Identity Server 4 eShopOnContainers 知多少[3]：Identity microservice

引言通常，服務所公開的資源和 API 必須僅限受信任的特定使用者和客戶端訪問。那進行 API 級別信任決策的第一步就是身份認證——確定使用者身份是否可靠。在微服務場景中，身份認證通常統一處理。一般有兩種實現形式：基於API 閘道器中心化認證：要求客戶端必須都通過閘道器訪問微服務。（這就要求

Identity Server 4 - Hybrid Flow - 保護API資源

回顧 Hybrid Flow

保護API

Access Token

Identity Server 4 - Hybrid Flow - 保護API資源

用 Identity Server 4 (JWKS 端點和 RS256 演算法) 來保護 Python web api

學習Identity Server 4的預備知識

使用Identity Server 4建立Authorization Server (2)

使用Identity Server 4建立Authorization Server (5)

使用Identity Server 4建立Authorization Server (6) - js(angular5) 客戶端

要用Identity Server 4 -- OAuth 2.0 超級簡介

eShopOnContainers 看微服務③：Identity Service OAuth 2.0 簡介 OpenID Connect 簡介 Identity Server 4 eShopOnContainers 知多少[3]：Identity microservice

學習Identity Server 4的預備知識 (誤刪, 重補)

使用Identity Server 4建立Authorization Server (3)

使用Identity Server 4建立Authorization Server (1)

Identity Server 4

Identity Server 4 預備知識 -- OAuth 2.0 簡介

Identity Server 4 預備知識 -- OpenID Connect 簡介

使用Identity Server 4建立Authorization Server (4)

第44章添加新協議 - Identity Server 4 中文文檔(v1.0.0)

第47章授權端點(Authorize Endpoint) - Identity Server 4 中文文檔(v1.0.0)

第41章 CORS - Identity Server 4 中文文檔(v1.0.0)

第42章發現(discovery) - Identity Server 4 中文文檔(v1.0.0)

第45章工具 - Identity Server 4 中文文檔(v1.0.0)

Identity Server 4 - Hybrid Flow - 保護API資源

回顧 Hybrid Flow

保護API

Access Token

相關推薦