2. 程式人生 > >【WebAPI No.3】API的訪問控制IdentityServer4

【WebAPI No.3】API的訪問控制IdentityServer4

阿新 發佈:2018-12-30

介紹:

IdentityServer是一個OpenID Connect提供者 - 它實現了OpenID Connect和OAuth 2.0協議。是一種向客戶發放安全令牌的軟體。

官網給出的功能解釋是:

  • 保護您的資源
  • 使用本地帳戶儲存或通過外部身份提供商對使用者進行身份驗證
  • 提供會話管理和單點登入
  • 管理和認證客戶
  • 向客戶釋出身份和訪問令牌
  • 驗證令牌

IdentityServe4的四種模式:

  • 授權碼模式(authorization code)
  • 簡化模式(implicit)
  • 密碼模式(resource owner password credentials)
  • 客戶端模式(client credentials)

以下是IdentityServer的一個大致流程圖:

註冊IdentityServe4認證伺服器:

先在asp.net core我們選中空模版。因為本身寫的業務也不多,只是為了做token的認證處理,所有建這個做測試比較方便。

建立程式碼示例:

什麼時候都不要忘記新增引用哦:

NuGet命令列:Install-Package IdentityServer4

當然你也可以這樣:

然後建立config.cs類來處理我們的一些業務:

 //定義範圍
        #region 定義要保護的資源(webapi)
        public static
 
 IEnumerable<ApiResource> GetApiResources()
        {
            return new List<ApiResource>
            {
                new ApiResource("FirstAPI", "API介面安全測試")
            };
        }
        #endregion

        #region 定義可訪問客戶端
        public static IEnumerable<Client> GetClients()
        {
            
 
return new List<Client>
            {
                new Client
                {
                    //客戶端id自定義
                    ClientId = "YbfTest",

                    AllowedGrantTypes = GrantTypes.ClientCredentials, ////設定模式,客戶端模式

                    // 加密驗證
                    ClientSecrets = new List<Secret>
                    {
                        new Secret("secret".Sha256())
                    },

                    // client可以訪問的範圍,在GetScopes方法定義的名字。
                    AllowedScopes = new List<string>
                    {
                        "FirstAPI"
                    }
                }
            };
        } 
        #endregion
View Code

以上就是一個基本的處理類了。然後我們開始在Startup.cs 配置IdentityServer4

 public void ConfigureServices(IServiceCollection services)
        {
            services.AddIdentityServer()
                 .AddDeveloperSigningCredential()
                 .AddInMemoryApiResources(Config.GetApiResources())  //配置資源               
                 .AddInMemoryClients(Config.GetClients());//配置客戶端
        }
View Code 
 public void Configure(IApplicationBuilder app, IHostingEnvironment env)
        {
            if (env.IsDevelopment())
            {
                app.UseDeveloperExceptionPage();
            }
            //將IddiTyServer新增到管道中。
            app.UseIdentityServer();

            app.Run(async (context) =>
            {
                await context.Response.WriteAsync("Hello World!");
            });
        }
View Code

這樣就可以啟動專案了,確認專案啟動完成後,還要確認服務是否開啟成功:在地址後增加地址:/.well-known/openid-configuration 例如:

出現以上結果就是啟動成功了。

當然你也可以使用postMan測試工具測試:

需要輸入

  • grant_type為客戶端授權client_credentials,
  • client_idConfig中配置的ClientId
  • Client_Secret為Config中配置的Secret

例如:

 建立webAPI資源伺服器

這個比較簡單了,首先建立一個簡單的webapi程式即可。

還是老規矩咯iuput,什麼時候都不要忘記引用:

通過nuget新增即可:IdentityServer4.AccessTokenValidation

然後點選確定安裝就可以了。

主要認證註冊服務:

在Startup類裡面的ConfigureServices方法裡面添加註冊

        public void ConfigureServices(IServiceCollection services)
        {
            //註冊IdentityServer 
            services.AddAuthentication(config => {
                config.DefaultScheme = "Bearer"; //這個是access_token的型別,獲取access_token的時候返回引數中的token_type一致
            }).AddIdentityServerAuthentication(option => {
                option.ApiName = "FirstAPI"; //資源名稱,認證服務註冊的資源列表名稱一致,
                option.Authority = "http://127.0.0.1:5000"; //認證服務的url
                option.RequireHttpsMetadata = false; //是否啟用https

            });
            services.AddMvc().SetCompatibilityVersion(CompatibilityVersion.Version_2_1);
        }

然後在在Startup的Configure方法裡配置Authentication中介軟體:

           //配置Authentication中介軟體
            app.UseAuthentication();

然後新增一個控制器進行驗證測試:

我這裡寫了一個獲取value值簡單檢測一下。

 // GET api/values
        [HttpGet]
        [Authorize]
        public ActionResult<IEnumerable<string>> Get()
        {
            return new string[] { "value1", "value2" };
        }

這裡注意要新增[Authorize]特性。用來做驗證是否有許可權的。沒有的話,以上做的沒有意義。需要引用名稱空間:using Microsoft.AspNetCore.Authorization;

看一下正確的請求結果:

如果不傳token值請求:

注意這裡就會返回401的未授權狀態。 

建立Client(客戶端)

上面我們使用的是postman請求的以演示程式是否建立成功,這裡我們假設一個使用者的使用客戶端,這裡我們建立一個控制檯來模擬一下真實的小場景。

既然是控制檯就沒什麼好說的直接上程式碼main函式:

Task.Run(async () =>
            {
                //從元資料中發現終結點,查詢IdentityServer
                var disco = await DiscoveryClient.GetAsync("http://127.0.0.1:5000");
                if (disco.IsError)
                {
                    Console.WriteLine(disco.Error);
                    return;
                }

                //向IdentityServer請求令牌
                var tokenClient = new TokenClient(disco.TokenEndpoint, "YbfTest", "YbfTest123");//請求的客戶資源
                var tokenResponse = await tokenClient.RequestClientCredentialsAsync("FirstAPI");//執行的範圍

                if (tokenResponse.IsError)
                {
                    Console.WriteLine(tokenResponse.Error);
                    return;
                }

                Console.WriteLine(tokenResponse.Json);

                //訪問Api
                var client = new HttpClient();
                //把令牌新增進請求
                //client.DefaultRequestHeaders.Authorization = new AuthenticationHeaderValue("Bearer",tokenResponse.AccessToken);
                //client.SetBearerToken(tokenResponse.AccessToken);
                client.SetToken("Bearer", tokenResponse.AccessToken);

                var response = await client.GetAsync("http://localhost:42033/api/values");
                if (!response.IsSuccessStatusCode)
                {
                    Console.WriteLine(response.StatusCode);
                }
                else
                {
                    var content = await response.Content.ReadAsStringAsync();
                    Console.WriteLine(JArray.Parse(content));
                }
            });

            Console.ReadLine();
View Code

這裡主要介紹一下請求資源時新增令牌主要有三種形式,我都在程式碼給出,根據api資源的註冊形式選擇適合的。api的註冊我也寫了兩種形式。主要的區別就是token前面的Bearer,如果想寫成自定義的和預設成Bearer就是這裡的區分。

自定義就要使用:

client.DefaultRequestHeaders.Authorization = new AuthenticationHeaderValue("Bearer",tokenResponse.AccessToken);

如果全域性預設的形式就不比每次請求都要新增所以可以寫成:

client.SetBearerToken(tokenResponse.AccessToken);

執行專案之後出現成功介面:

 

 傳送門

相關推薦

WebAPI No.3API訪問控制IdentityServer4

介紹: IdentityServer是一個OpenID Connect提供者 - 它實現了OpenID Connect和OAuth 2.0協議。是一種向客戶發放安全令牌的軟體。 官網給出的功能解釋是: 保護您的資源 使用本地帳戶儲存或通過外部身份提供商對使用者進行身份驗證 提供會話管理和單點登入

WebAPI No.4Swagger實現API文件功能

介紹: Swagger也稱為Open API,Swagger從API文件中手動完成工作,並提供一系列用於生成,視覺化和維護API文件的解決方案。簡單的說就是一款讓你更好的書寫API文件的框架。 我們為什麼選擇swagger,現在的網站開發結果越來越注重前後端的分離,比如以前的webFrom到現在的mvc模

WebAPI No.1建立簡單的 .NETCore WebApi

介紹: 官方定義如下,強調兩個關鍵點,即可以對接各種客戶端(瀏覽器,移動裝置),構建http服務的框架。Web API最重要的是可以構建面向各種客戶端的服務。 core的WebAPI與ASP.NET WebAPI是有些區別的,現在使用的是控制器路由[Route("api/Menu")]和請求方式路由[Ht

WebAPI No.2如何WebAPI釋出

介紹: Asp.Net Core在Windows上可以採用兩種執行方式。一種是自託管執行,另一種是釋出到IIS託管執行。 自託管 首先有一個完好的.Net Core WebAPI測試專案,然後進入根目錄執行   dotnet publish  ,來進行編譯: 然後在進入dll目錄,也就是程式集

WebAPI No.5Core WebAPI中的自定義格式化

介紹 Web API為JSON和XML提供媒體型別格式化程式。框架預設將這些格式化程式插入管道中。客戶端可以在HTTP請求的Accept標頭中請求JSON或XML. 格式化資料這個東西,其實沒有什麼最好的資料,要看各種場景,最適合才是最好的,不是說json就比xml好,容易解析什麼的等。 廢話不多說了,

LinuxApache訪問控制之虛擬主機配置

在上一次的測試中可以看到在訪問AWStats日誌分析系統時,並不需要提高賬號和密碼,只要知道對應的網址就可以獲知web站點的訪問情況,這給伺服器帶來了安全隱患。為了更好的控制對網站資源的訪問,可以待定的

Java基礎篇HttpClient訪問Restful Api(Https)

使用該工具類(HttpsUtils)可直接呼叫SSL API訪問,如果為Http方式訪問請檢視我另一篇博文,後面還有更多Java相關知識,請關注我的CSDN部落格互相學習。。,有什麼問題也可以加我QQ:444623631,互相討論。 package com.smar

時間、日期選擇器安卓3

ear hour getc enable pic style min 判斷 eight TimePicker(時間選擇器) 方法 描述 Integer getCurrentHour () 返回當前設置的小時 Integer getCurren

下拉列表框安卓3

pan activity border cin left 資源 pro 內容 1.0 Spinner(下拉列表框) 方法 描述 CharSequence getPrompt () 取得提示文字 void setPrompt(CharSeque

例6.3刪數問題(Noip1994)

logs lan cin clas pac i++ wlan 描述 status 【例6.3】刪數問題(Noip1994) 鏈接:http://ybt.ssoier.cn:8088/status.php?start=0&showname=edsheeran&

第五章API服務網關(Zuul) 上

重復 降級 泄露 業務 over 實現 rri 檢查 true 微服務場景下,每一個微服務對外暴露了一組細粒度的服務。客戶端的請求可能會涉及到一串的服務調用,如果將這些微服務都暴露給客戶端,那麽客戶端需要多次請求不同的微服務才能完成一次業務處理,增加客戶端的代碼復雜度。另外

python全棧開發第四篇Python流程控制

int 語法 password sat code 修改 就是 bre and 十二 流程控制之if…else 既然我們編程的目的是為了控制計算機能夠像人腦一樣工作,那麽人腦能做什麽,就需要程序中有相應的機制去模擬。人腦無非是數學運算和邏輯運算,對於數學運算在上一節我們已經說

TP3.2.3微信網頁授權--基類

重新 exec 進入 index.php sset AR 關註 fun func 非常好用的微信授權 基類:其他的微信權限類都可以繼承至該類: <?php namespace Wechat\Controller; use Think\Controller;

WebGL入門3相機參數及光照模型

但是 一個 設置 phi 模塊 之間 光源 top pen 透視相機:PerspectiveCamera( fov, aspect, near, far )   1、視角fov:這個最難理解,我的理解是,眼睛睜開的角度,即,視角的大小,如果設置為0,相當你閉上眼睛了,所以什

sublime text 3sublime text 3 漢化

ctr ima 菜單 ati tex TP pac ont 主頁 快捷鍵:Ctrl+Alt+P 輸入快捷鍵Ctrl+Shift+P 在出現的文本框中輸入Install Package(或直接輸入“ip”)選中packageControl:Install Package並

多媒體學習3

  【知識點】 【hsl顏色模式】h:色相  0-360,s:飽和度 0-100%,l:亮度 0-100% 【強制轉換int】a=parseInt(a) 【隨機數函式,生成[0,1)】Math.random() 【生成0-360的隨機數】a=parseInt(

2018.11.3阿伏伽德羅 / 聯絡 / 歐幾里得距離

int main(){   while(模擬賽) 降智++;     return inf; } 題目 T1 剛看到題時還以為不可做,重新看了幾遍之後才發現以前好像做過…… 做法很顯然吧…… 由於第一行存在 $1-n$ 的數各一個,我們可以先把列 按照第一行的數從大到小排序

USACO1.6.3Prime Palindromes數論,數學模擬

題目大意: 題目連結:http://train.usaco.org/usacoprob2?a=iLZIJL4lyhX&S=pprime 求 l

洛谷P1457USACO2.1.3城堡DFS

題目大意: 題目連結: 洛谷:https://www.luogu.org/problemnew/show/P1457 USACO:http://train.usaco.org/usacoprob2?a=K2AezsnHYp9&S=castle 給出一個

1.1.3awk命令

awk指令碼基本結構 awk 'BEGIN{print "start"} pattern {commands} END{print "ends"}' file #執行過程 awk 'BEGIN {commands} pattern{commands}END{commands}'