2. 程式人生 > >IdentityServer4 (1) 客戶端授權模式(Client Credentials)

IdentityServer4 (1) 客戶端授權模式(Client Credentials)

阿新 發佈:2020-08-03

寫在前面

1、原始碼(.Net Core 2.2)

  git地址:https://github.com/yizhaoxian/CoreIdentityServer4Demo.git

2、相關章節

  2.1、《IdentityServer4 (1) 客戶端授權模式(Client Credentials)》
  2.2、《IdentityServer4 (2) 密碼授權(Resource Owner Password)》
  2.3、《IdentityServer4 (3) 授權碼模式(Authorization Code)》
  2.4、《IdentityServer4 (4) 靜默重新整理(Implicit)》

  2.5、《IdentityServer4 (5) 混合模式(Hybrid)》

3、參考資料

  IdentityServer4 中文文件 http://www.identityserver.com.cn/
  IdentityServer4 英文文件 https://identityserver4.readthedocs.io/en/latest/

4、流程圖

  客戶端授權模式是最基本的使用場景,我們需要做一個API(受保護的資源),一個客戶端(訪問的應用),一個IdentityServer(用來授權)

  

一、建立IdentityServer

1、用VS建立一個Web 專案

  

2、新增引用 IdentityServer4 包,下圖是我已經安裝好了的截圖

3、新增一個配置檔案(這裡也可以使用json檔案)

    public class IdpConfig
    {
        /// <summary>
        /// 使用者認證資訊
        /// </summary>
        /// <returns></returns>
        public static IEnumerable<IdentityResource> GetApiResources()
        {
            return new List<IdentityResource>
            {
                new IdentityResources.OpenId(),
                new IdentityResources.Profile(),
                new IdentityResources.Address(),
                new IdentityResources.Email(),
                new IdentityResources.Phone()
            };
        }
        /// <summary>
        /// API 資源
        /// </summary>
        /// <returns></returns>
        public static IEnumerable<ApiResource> GetApis()
        {
            return new List<ApiResource>
            {
                new ApiResource("api1", "My API") 
            };
        }

        /// <summary>
        /// 客戶端應用
        /// </summary>
        /// <returns></returns>
        public static IEnumerable<Client> GetClients()
        {
            return new List<Client>
            {
                new Client
                {
                    // 客戶端ID 這個很重要
                    ClientId = "client",
                    //AccessToken 過期時間,預設3600秒,注意這裡直接設定5秒過期是不管用的,解決方案繼續看下面 API資源新增JWT
                    //AccessTokenLifetime=5, 
                    // 沒有互動性使用者,使用 clientid/secret 實現認證。
                    AllowedGrantTypes = GrantTypes.ClientCredentials, 
                    // 用於認證的密碼
                    ClientSecrets =
                    {
                        new Secret("secret".Sha256())
                    },
                    // 客戶端有權訪問的範圍(Scopes)
                    AllowedScopes = { "api1" }
                }
            };
        }
    }

4、在StartUp.cs 裡註冊 IdentityServer4 

  ConfigureServices()

    services.AddIdentityServer(options =>
    {
        options.Events.RaiseErrorEvents = true;
        options.Events.RaiseInformationEvents = true;
        options.Events.RaiseFailureEvents = true;
        options.Events.RaiseSuccessEvents = true;
    })
      .AddDeveloperSigningCredential()//解決Keyset is missing 錯誤
      //.AddTestUsers(TestUsers.Users)
      //.AddInMemoryIdentityResources(IdpConfig.GetApiResources())
      .AddInMemoryApiResources(IdpConfig.GetApis())
      .AddInMemoryClients(IdpConfig.GetClients());

  Configure()方法新增使用 IdentityServer4 中介軟體

app.UseIdentityServer();

5、配置完成

  啟動專案,訪問 http://localhost:5002/.well-known/openid-configuration (我的埠號是5002) ,可以瀏覽 發現文件,參考下圖,說明已經配置成功。

  後面客戶端會使用裡面的資料進行請求toke

  專案第一次啟動根目錄也會生成一個檔案 tempkey.rsa

   

二、客戶端

1、新建一個.Net Core Web 專案

  這裡可以使用其他建立客戶端 。例如:控制檯程式、wpf 等等。需要新增 NuGet 包 IdentityModel

  

2、新建一個 Controller 用來測試訪問上面的IdentityServer

  獲取token,訪問 http://localhost:5003/Idp/token ,提示訪問成功

    public class IdpController : Controller
    { 
        private static readonly string _idpBaseUrl = "http://localhost:5002"; 
        public async Task<IActionResult> Token()
        {
            var client = new HttpClient();
            var disco = await client.GetDiscoveryDocumentAsync(_idpBaseUrl);
            if (disco.IsError)
            {
                return Content("獲取發現文件失敗。error:" + disco.Error);
            }
            var token = await client.RequestClientCredentialsTokenAsync(new ClientCredentialsTokenRequest()
            {
                Address = disco.TokenEndpoint,
                //ClientId、ClientSecret、Scope 這裡要和 API 裡定義的Client一模一樣
                ClientId = "client",
                ClientSecret = "secret",
                Scope = "api1"
            });
            if (token.IsError)
            {
                return Content("獲取 AccessToken 失敗。error:" + disco.Error);
            } 
            return Content("獲取 AccessToken 成功。Token:" + token.AccessToken);
        }  
    }

三、新增API資源

1、新建一個API專案

  我把API專案和IdentityServer 放到同一個解決方案,這個自己定,無所謂的

  API資源指的是IdentityServer IdpConfig.GetApis() 裡面新增的 api1(這個api1名稱隨便起,但是要注意一定要保持一致)

  新增認證之後就可以測試用 AccessToken 請求資源了

2、新增JWT 認證

  StartUp.ConfigureServices()

       services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme)
       .AddJwtBearer(JwtBearerDefaults.AuthenticationScheme, options =>
       {
           // IdentityServer 地址
           options.Authority = "http://localhost:5002";
           //不需要https
           options.RequireHttpsMetadata = false;
           //這裡要和 IdentityServer 定義的 api1 保持一致
           options.Audience = "api1";
           //token 預設容忍5分鐘過期時間偏移,這裡設定為0,
           //這裡就是為什麼定義客戶端設定了過期時間為5秒,過期後仍可以訪問資料
           options.TokenValidationParameters.ClockSkew = TimeSpan.Zero;
           options.Events = new JwtBearerEvents
           {
               //AccessToken 驗證失敗
               OnChallenge = op =>
               {
                   //跳過所有預設操作
                   op.HandleResponse();
                   //下面是自定義返回訊息
                   //op.Response.Headers.Add("token", "401");
                   op.Response.ContentType = "application/json";
                   op.Response.StatusCode = StatusCodes.Status401Unauthorized;
                   op.Response.WriteAsync(JsonConvert.SerializeObject(new
                   {
                       status = StatusCodes.Status401Unauthorized,
                       msg = "token無效"
                   }));
                   return Task.CompletedTask;
               }
           };
       });

3、新增認證中介軟體

//這裡注意 一定要在 UseMvc前面,順序不可改變
app.UseAuthentication();

4、Controller 新增特性認證 [Authorize]

    [Route("api/[controller]")]
    [Authorize] 
    public class SuiBianController : Controller
    {
        [HttpGet]
        public string Get()
        {
            var roles = User.Claims.Where(l => l.Type == ClaimTypes.Role);
            return "訪問成功,當前使用者角色 " + string.Join(',', roles.Select(l => l.Value));
        }
    }

5、測試

  訪問 http://localhost:5001/api/suibian ,提示 token 無效,證明我們增加認證成功

  

四、客戶端測試

1、修改 IdpController, 新增一個action 訪問 API資源 /api/suibian

    public class IdpController : Controller
    {
        //記憶體快取 需要提前註冊  services.AddMemoryCache();
        private IMemoryCache _memoryCache;
        private static readonly string _idpBaseUrl = "http://localhost:5002";
        private static readonly string _apiBaseUrl = "http://localhost:5001";
        public IdpController(IMemoryCache memoryCache)
        {
            _memoryCache = memoryCache;
        }
        public async Task<IActionResult> Token()
        {
            var client = new HttpClient();
            var disco = await client.GetDiscoveryDocumentAsync(_idpBaseUrl);
            if (disco.IsError)
            {
                return Content("獲取發現文件失敗。error:" + disco.Error);
            }
            var token = await client.RequestClientCredentialsTokenAsync(new ClientCredentialsTokenRequest()
            {
                Address = disco.TokenEndpoint,
                ClientId = "client",
                ClientSecret = "secret",
                Scope = "api1"
            });
            if (token.IsError)
            {
                return Content("獲取 AccessToken 失敗。error:" + disco.Error);
            }
            //將token 臨時儲存到 快取中
            _memoryCache.Set("AccessToken", token.AccessToken);
            return Content("獲取 AccessToken 成功。Token:" + token.AccessToken);
        }

        public async Task<IActionResult> SuiBian()
        {
            string token, apiurl = GetApiUrl("suibian");
            _memoryCache.TryGetValue("AccessToken", out token);
            if (string.IsNullOrEmpty(token))
            {
                return Content("token is null");
            }
            var client = new HttpClient();
            client.SetBearerToken(token);
            var response = await client.GetAsync(apiurl);
            var result = await response.Content.ReadAsStringAsync();
            if (!response.IsSuccessStatusCode)
            {
                _memoryCache.Remove("AccessToken");
                return Content($"獲取 {apiurl} 失敗。StatusCode:{response.StatusCode} \r\n Token:{token} \r\n result:{result}");
            }
            return Json(new
            {
                code = response.StatusCode,
                data = result
            });
        }

        private string GetApiUrl(string address)
        {
            return _apiBaseUrl + "/api/" + address;
        }
    }

2、請求 AccessToken

  http://localhost:5003/Idp/token ,請求成功後會將 token 儲存到 cache 中

     

3、請求 API 資源

  http://localhost:5003/Idp/suibian ,token是直接在快取裡面取出來的

五、專案目錄

 

&n

相關推薦

IdentityServer4 (1) 客戶授權模式(Client Credentials)

寫在前面 1、原始碼(.Net Core 2.2)   git地址:https://github.com/yizhaoxian/CoreIdentityServer4Demo.git 2、相關章節   2.1、《IdentityServer4 (1) 客戶端授權模式(Client Credentials)》

IdentityServer4(7)- 使用客戶認證控制API訪問(客戶授權模式

一.前言 目前官方的文件和Demo以及一些相關元件全部是.net core 1.1的,應該是因為目前IdentityServer4目前最新版本只是2.0.0 rc1的原因,官方文件和Demo還沒來更新。我準備使用的是.net core 2.0 所支援的IdentityServer4 2.0.0,官方文件及De

基於OWIN WebAPI 使用OAuth授權服務【客戶模式(Client Credentials Grant)】

適應範圍 採用Client Credentials方式,即應用公鑰、金鑰方式獲取Access Token,適用於任何型別應用,但通過它所獲取的Access Token只能用於訪問與使用者無關的Open API,並且需要開發者提前向開放平臺申請,成功對接後方能使用。認證伺服器不提供像使用者資料這樣的重要資源,

angular2^ typescript 將 文件和Json數據 合並發送到服務器(1.客戶處理)

src ica div .html web ready 進行 form med 首先介紹下框架基本流程 (web > webservice 【前端架構】 ) > (nodejs 【 數據中轉站 】) >(api 【後臺接口】) --web (htm

9.1 客戶發起請求源碼

getbean 負載均衡器 tostring router selected 請求參數 object 隨機 vol 來看一下客戶端請求代碼: 1 DemoService demoService = (DemoService) context.getBean

JavaMail發送郵件應添加客戶授權密碼而不是登陸密碼

javamail cati AS com 授權 onf thread 登陸 出現 Exception in thread "main" javax.mail.AuthenticationFailedException: 535 Error: authentication

04. Spring Cloud--客戶彈性模式

4.1 簡介 在分散式系統中,當服務崩潰時,很容易檢測到該服務已經不在了,因此應用程式可以繞過它。然而,當服務執行緩慢時,檢測到這個服務效能不佳並繞過它是非常困難的,這是因為以下幾個原因。 服務的降級可以以間歇性問題開始,並形成不可逆轉的勢頭 – 降級可能只發生在很小的爆發中

【.NET Core項目實戰-統一認證平臺】第六章 網關篇-自定義客戶授權

localhost 寫入 warn seo 接口 後端 配置 rect when 【.NET Core項目實戰-統一認證平臺】開篇及目錄索引 上篇文章我們介紹了網關使用Redis進行緩存,並介紹了如何進行緩存實現,緩存信息清理接口的使用。本篇我們將介紹如何實現網關自定義客

簡易NIS——搭建一個客戶/伺服器模式的網路認證環境

背景知識 NIS(Network Information Service網路資訊系統)是美國Sun公司開發的一套開源的網上身份認證系統。NIS基於RPC,是由一個伺服器、一個客戶端庫以及幾個管理工具組成。起初,NIS被稱作黃頁(Yellow Pages),或YP,現在仍然使用這個名稱來非正式地指

CentOS7.1安裝Oracle 12.1客戶以及cx_Oracle

1.hostnamectl set-hostname p164 --修改主機名 2.vim /etc/hosts --修改h osts,否則出現 ORA-21561: OID generation failed,加入本機的解析

【.NET Core專案實戰-統一認證平臺】第六章 閘道器篇-自定義客戶授權

原文: 【.NET Core專案實戰-統一認證平臺】第六章 閘道器篇-自定義客戶端授權 【.NET Core專案實戰-統一認證平臺】開篇及目錄索引 上篇文章我們介紹了閘道器使用Redis進行快取,並介紹瞭如何進行快取實現,快取資訊清理介面的使用。本篇我們將介紹如何實現閘道器自定義客戶端授權,實現可以

【.NET Core專案實戰-統一認證平臺】第十章 授權篇-客戶授權

上篇文章介紹瞭如何使用Dapper持久化IdentityServer4(以下簡稱ids4)的資訊,並實現了sqlserver和mysql兩種方式儲存,本篇將介紹如何使用ids4進行客戶端授權。 .netcore專案實戰交流群(637326624),有興趣的朋友可以在群裡交流討論

Elasticsearch Java client(ES Client 簡介、Java REST Client、Java Client、Spring Data Elasticsearch) elasticsearch系列七:ES Java客戶-Elasticsearch Java client(E

elasticsearch系列七:ES Java客戶端-Elasticsearch Java client(ES Client 簡介、Java REST Client、Java Client、Spring Data Elasticsearch) 一、ES Client 簡介 1. ES是一個服務

【乾貨】基於Owin WebApi 使用OAuth2進行客戶授權服務

前言:採用Client Credentials方式,即金鑰key/password,場景一般是分為客戶端限制必須有許可權才能使用的模組,這和微信公眾號開放平臺很類似。 讓使用者通過客戶端去獲取自己的token,在根據這個token去獲取資源。 本地登入憑據流 使用者輸入名稱和密碼到客戶端。 客

elasticsearch java api 建立客戶連線(Transport Client)

現在寫一個簡單的小例子建立elasticsearch客戶端連線,這裡我使用Transport Client,去建立客戶端連線 它可以應用在多個方面 在elasticsearch平臺中,可以執行建立索引,獲取索引,刪除索引,搜尋索引,在現有的叢集伺服器中在叢集伺服器中,可

【SpringCloud Greenwich版本】第八章:配置中心客戶(config client

一、SpringCloud版本 本文介紹的Springboot版本為2.1.1.RELEASE,SpringCloud版本為Greenwich.RC1,JDK版本為1.8,整合環境為IntelliJ IDEA 二、config client介紹 Spring Boot應用程式可以

SpringBoot+Spring Security Oauth2實現客戶授權

框架使用SpringBoot 1.5 + Spring Security Oauth2 主要完成了客戶端授權 可以通過mysql資料庫 將客戶端與token資訊儲存在資料庫中。 每次授權會將新的token儲存在mysql中,進行客戶端驗證時,先會從資料庫中查詢客

客戶/伺服器模式C/S與瀏覽器/伺服器模式B/S

客戶端/伺服器模式與瀏覽器端/伺服器模式,即C/S模式與B/S模式之間的區別,其實與RCP和TCP程式的區別一樣,在於執行平臺和資料交換模式的區別。 C/S模式中,在客戶端需要安裝RCP程式,負責客戶

Netty資料傳輸-客戶,queue-client

【一個小程式設計師的成長日記】在公司接了一個任務,完成一個專案資料同步模組。要求是不能操作專案的資料庫。所以想到的方案是使用log4jdbc記錄資料來源的SQL語句或者儲存過程到日誌檔案。然後按行讀取日誌檔案中的資料,記錄讀取的點,以便下次繼續讀取。讀取的資料進入Big Queue佇列(一個大型、快速且持久的

繞過微信客戶授權,獲取網頁原始碼

首先有人寫出來一個比較不錯的例子,我先貼出來 http://chitanda.me/2015/06/29/debug-wechat-website-in-pc/ 本來想直接連結文字的,結果發現MarkDown這種模式沒找到 但是別人講的情況都是非常基礎的情況,