在上一篇关于简化模式中,经过客户端以浏览器的形式请求IdentityServer服务获取访问令牌,从而请求获取受保护的资源,但因为token携带在url中,安全性方面不能保证。所以,咱们能够考虑经过其余方式来解决这个问题。html
咱们经过Oauth2.0的受权码模式了解,这种模式不一样于简化模式,在于受权码模式不直接返回token,而是先返回一个受权码,而后再根据这个受权码去请求token。这显得更为安全。git
因此在这一篇中,咱们将经过多种受权模式中的受权码模式进行说明,主要针对介绍IdentityServer保护API的资源,受权码访问API资源。github
(图片来源网络)数据库
指的是第三方应用先申请一个受权码,而后再用该码获取令牌,实现与资源服务器的通讯。json
看一个常见的QQ登录第三方网站的流程以下图所示:c#
受权码模式(authorization code)是功能最完整、流程最严密的受权模式。后端
受权码模式适用于有后端的应用,由于客户端根据受权码去请求token时是须要把客户端密码转进来的,为了不客户端密码被暴露,因此请求token这个过程须要放在后台。api
+----------+ | Resource | | Owner | | | +----------+ ^ | (B) +----|-----+ Client Identifier +---------------+ | -+----(A)-- & Redirection URI ---->| | | User- | | Authorization | | Agent -+----(B)-- User authenticates --->| Server | | | | | | -+----(C)-- Authorization Code ---<| | +-|----|---+ +---------------+ | | ^ v (A) (C) | | | | | | ^ v | | +---------+ | | | |>---(D)-- Authorization Code ---------' | | Client | & Redirection URI | | | | | |<---(E)----- Access Token -------------------' +---------+ (w/ Optional Refresh Token)
受权码受权流程描述浏览器
(A)用户访问第三方应用,第三方应用将用户导向认证服务器;安全
(B)用户选择是否给予第三方应用受权;
(C)假设用户给予受权,认证服务器将用户导向第三方应用事先指定的重定向URI,同时带上一个受权码;
(D)第三方应用收到受权码,带上上一步时的重定向URI,向认证服务器申请访问令牌。这一步是在第三方应用的后台的服务器上完成的,对用户不可见;
(E)认证服务器核对了受权码和重定向URI,确认无误后,向第三方应用发送访问令牌(Access Token)和更新令牌(Refresh token);
(F)访问令牌过时后,刷新访问令牌;
(用户的操做:用户访问https://client.example.com/cb跳转到登陆地址,选择受权服务器方式登陆)
在受权开始以前,它首先生成state参数(随机字符串)。client端将须要存储这个(cookie,会话或其余方式),以便在下一步中使用。
GET /authorize?response_type=code&client_id=s6BhdRkqt3&state=xyz &redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb HTTP/1.1 HTTP/1.1 Host: server.example.com
生成的受权URL如上所述(如上),请求这个地址后重定向访问受权服务器,其中 response_type参数为code,表示受权类型,返回code受权码。
参数 | 是否必须 | 含义 |
---|---|---|
response_type | 必需 | 表示受权类型,此处的值固定为"code" |
client_id | 必需 | 客户端ID |
redirect_uri | 可选 | 表示重定向的URI |
scope | 可选 | 表示受权范围。 |
state | 可选 | 表示随机字符串,可指定任意值,认证服务器会返回这个值 |
(2)假设用户给予受权,认证服务器将用户导向第三方应用事先指定的重定向URI,同时带上一个受权码
HTTP/1.1 302 Found Location: https://client.example.com/cb?code=SplxlOBeZQQYbYS6WxSbIA&state=xyz
参数 | 含义 |
---|---|
code | 表示受权码,必选项。该码的有效期应该很短,一般设为10分钟,客户端只能使用该码一次,不然会被受权服务器拒绝。该码与客户端ID和重定向URI,是一一对应关系。 |
state | 若是客户端的请求中包含这个参数,认证服务器的回应也必须如出一辙包含这个参数。 |
(3)第三方应用收到受权码,带上上一步时的重定向URI,向认证服务器申请访问令牌。这一步是在第三方应用的后台的服务器上完成的,对用户不可见。
POST /token HTTP/1.1 Host: server.example.com Authorization: Bearer czZCaGRSa3F0MzpnWDFmQmF0M2JW Content-Type: application/x-www-form-urlencoded grant_type=authorization_code&code=SplxlOBeZQQYbYS6WxSbIA &redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb
参数 | 含义 |
---|---|
grant_type | 表示使用的受权模式,必选项,此处的值固定为"authorization_code"。 |
code | 表示上一步得到的受权码,必选项。 |
redirect_uri | 表示重定向URI,必选项,且必须与步骤1中的该参数值保持一致。 |
client_id | 表示客户端ID,必选项。 |
(4)认证服务器核对了受权码和重定向URI,确认无误后,向第三方应用发送访问令牌(Access Token)和更新令牌(Refresh token)
HTTP/1.1 200 OK Content-Type: application/json;charset=UTF-8 Cache-Control: no-store Pragma: no-cache { "access_token":"2YotnFZFEjr1zCsicMWpAA", "token_type":"Bearer", "expires_in":3600, "refresh_token":"tGzv3JOkF0XG5Qx2TlKWIA", "example_parameter":"example_value" }
参数 | 含义 |
---|---|
access_token | 表示访问令牌,必选项。 |
token_type | 表示令牌类型,该值大小写不敏感,必选项,能够是Bearer类型或mac类型。 |
expires_in | 表示过时时间,单位为秒。若是省略该参数,必须其余方式设置过时时间。 |
refresh_token | 表示更新令牌,用来获取下一次的访问令牌,可选项。 |
scope | 表示权限范围,若是与客户端申请的范围一致,此项可省略。 |
(5) 访问令牌过时后,刷新访问令牌
POST /token HTTP/1.1 Host: server.example.com Authorization: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW Content-Type: application/x-www-form-urlencoded grant_type=refresh_token&refresh_token=tGzv3JOkF0XG5Qx2TlKWIA
参数 | 含义 |
---|---|
granttype | 表示使用的受权模式,此处的值固定为"refreshtoken",必选项。 |
refresh_token | 表示早前收到的更新令牌,必选项。 |
scope | 表示申请的受权范围,不能够超出上一次申请的范围,若是省略该参数,则表示与上一次一致。 |
在示例实践中,咱们将建立一个受权访问服务,定义一个MVC客户端,MVC客户端经过IdentityServer上请求访问令牌,并使用它来访问API。
搭建认证受权服务
IdentityServer4
程序包
创建配置内容文件Config.cs
public static class Config { public static IEnumerable<IdentityResource> IdentityResources => new IdentityResource[] { new IdentityResources.OpenId(), new IdentityResources.Profile(), }; public static IEnumerable<ApiScope> ApiScopes => new ApiScope[] { new ApiScope("code_scope1") }; public static IEnumerable<ApiResource> ApiResources => new ApiResource[] { new ApiResource("api1","api1") { Scopes={ "code_scope1" }, UserClaims={JwtClaimTypes.Role}, //添加Cliam 角色类型 ApiSecrets={new Secret("apipwd".Sha256())} } }; public static IEnumerable<Client> Clients => new Client[] { new Client { ClientId = "code_client", ClientName = "code Auth", AllowedGrantTypes = GrantTypes.Code, RedirectUris ={ "http://localhost:5002/signin-oidc", //跳转登陆到的客户端的地址 }, // RedirectUris = {"http://localhost:5002/auth.html" }, //跳转登出到的客户端的地址 PostLogoutRedirectUris ={ "http://localhost:5002/signout-callback-oidc", }, ClientSecrets = { new Secret("511536EF-F270-4058-80CA-1C89C192F69A".Sha256()) }, AllowedScopes = { IdentityServerConstants.StandardScopes.OpenId, IdentityServerConstants.StandardScopes.Profile, "code_scope1" }, //容许将token经过浏览器传递 AllowAccessTokensViaBrowser=true, // 是否须要赞成受权 (默认是false) RequireConsent=true } }; }
RedirectUris
: 登陆成功回调处理的客户端地址,处理回调返回的数据,能够有多个。
PostLogoutRedirectUris
:跳转登出到的客户端的地址。这两个都是配置的客户端的地址,且是identityserver4组件里面封装好的地址,做用分别是登陆,注销的回调
由于是受权码受权的方式,因此咱们经过代码的方式来建立几个测试用户。
新建测试用户文件TestUsers.cs
public class TestUsers { public static List<TestUser> Users { get { var address = new { street_address = "One Hacker Way", locality = "Heidelberg", postal_code = 69118, country = "Germany" }; return new List<TestUser> { new TestUser { SubjectId = "1", Username = "i3yuan", Password = "123456", Claims = { new Claim(JwtClaimTypes.Name, "i3yuan Smith"), new Claim(JwtClaimTypes.GivenName, "i3yuan"), new Claim(JwtClaimTypes.FamilyName, "Smith"), new Claim(JwtClaimTypes.Email, "i3yuan@email.com"), new Claim(JwtClaimTypes.EmailVerified, "true", ClaimValueTypes.Boolean), new Claim(JwtClaimTypes.WebSite, "http://i3yuan.top"), new Claim(JwtClaimTypes.Address, JsonSerializer.Serialize(address), IdentityServerConstants.ClaimValueTypes.Json) } } }; } } }
返回一个TestUser的集合。
经过以上添加好配置和测试用户后,咱们须要将用户注册到IdentityServer4服务中,接下来继续介绍。
在startup.cs中ConfigureServices方法添加以下代码:
public void ConfigureServices(IServiceCollection services) { var builder = services.AddIdentityServer() .AddTestUsers(TestUsers.Users); //添加测试用户 // in-memory, code config builder.AddInMemoryIdentityResources(Config.IdentityResources); builder.AddInMemoryApiScopes(Config.ApiScopes); builder.AddInMemoryApiResources(Config.ApiResources); builder.AddInMemoryClients(Config.Clients); // not recommended for production - you need to store your key material somewhere secure builder.AddDeveloperSigningCredential(); services.ConfigureNonBreakingSameSiteCookies(); }
在startup.cs中Configure方法添加以下代码:
public void Configure(IApplicationBuilder app, IWebHostEnvironment env) { if (env.IsDevelopment()) { app.UseDeveloperExceptionPage(); } app.UseStaticFiles(); app.UseRouting(); app.UseCookiePolicy(); app.UseAuthentication(); app.UseAuthorization(); app.UseIdentityServer(); app.UseEndpoints(endpoints => { endpoints.MapDefaultControllerRoute(); }); }
以上内容是快速搭建简易IdentityServer项目服务的方式。
这搭建 Authorization Server 服务跟上一篇简化模式有何不一样之处呢?
- 在Config中配置客户端(client)中定义了一个
AllowedGrantTypes
的属性,这个属性决定了Client能够被哪一种模式被访问,GrantTypes.Code为受权码模式。因此在本文中咱们须要添加一个Client用于支持受权码模式(Authorization Code)。
实现对API资源进行保护
IdentityServer4.AccessTokenValidation 包
在startup.cs中ConfigureServices方法添加以下代码:
public void ConfigureServices(IServiceCollection services) { services.AddControllersWithViews(); services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme) services.AddAuthentication("Bearer") .AddIdentityServerAuthentication(options => { options.Authority = "http://localhost:5001"; options.RequireHttpsMetadata = false; options.ApiName = "api1"; options.ApiSecret = "apipwd"; //对应ApiResources中的密钥 }); }
AddAuthentication把Bearer配置成默认模式,将身份认证服务添加到DI中。
AddIdentityServerAuthentication把IdentityServer的access token添加到DI中,供身份认证服务使用。
在startup.cs中Configure方法添加以下代码:
public void Configure(IApplicationBuilder app, IWebHostEnvironment env) { if (env.IsDevelopment()) { app.UseDeveloperExceptionPage(); } app.UseRouting(); app.UseAuthentication(); app.UseAuthorization(); app.UseEndpoints(endpoints => { endpoints.MapDefaultControllerRoute(); }); }
UseAuthentication将身份验证中间件添加到管道中;
UseAuthorization 将启动受权中间件添加到管道中,以便在每次调用主机时执行身份验证受权功能。
[Route("api/[Controller]")] [ApiController] public class IdentityController:ControllerBase { [HttpGet("getUserClaims")] [Authorize] public IActionResult GetUserClaims() { return new JsonResult(from c in User.Claims select new { c.Type, c.Value }); } }
在IdentityController 控制器中添加 [Authorize] , 在进行请求资源的时候,需进行认证受权经过后,才能进行访问。
实现对客户端认证受权访问资源
IdentityServer4.AccessTokenValidation 包
要将对 OpenID Connect 身份认证的支持添加到MVC应用程序中。
在startup.cs中ConfigureServices方法添加以下代码:
public void ConfigureServices(IServiceCollection services) { services.AddControllersWithViews(); services.AddAuthorization(); services.AddAuthentication(options => { options.DefaultScheme = "Cookies"; options.DefaultChallengeScheme = "oidc"; }) .AddCookie("Cookies") //使用Cookie做为验证用户的首选方式 .AddOpenIdConnect("oidc", options => { options.Authority = "http://localhost:5001"; //受权服务器地址 options.RequireHttpsMetadata = false; //暂时不用https options.ClientId = "code_client"; options.ClientSecret = "511536EF-F270-4058-80CA-1C89C192F69A"; options.ResponseType = "code"; //表明Authorization Code options.Scope.Add("code_scope1"); //添加受权资源 options.SaveTokens = true; //表示把获取的Token存到Cookie中 options.GetClaimsFromUserInfoEndpoint = true; }); services.ConfigureNonBreakingSameSiteCookies(); }
AddAuthentication
注入添加认证受权,当须要用户登陆时,使用cookie
来本地登陆用户(经过“Cookies”做为DefaultScheme
),并将DefaultChallengeScheme
设置为“oidc”,使用
AddCookie
添加能够处理 cookie 的处理程序。在
AddOpenIdConnect
用于配置执行OpenID Connect
协议的处理程序和相关参数。Authority
代表以前搭建的 IdentityServer 受权服务地址。而后咱们经过ClientId
、ClientSecret
,识别这个客户端。SaveTokens
用于保存从IdentityServer获取的token至cookie,ture标识ASP.NETCore将会自动存储身份认证session的access和refresh token。
而后要确保认证服务执行对每一个请求的验证,加入UseAuthentication
和UseAuthorization
到Configure
中,在startup.cs中Configure方法添加以下代码:
public void Configure(IApplicationBuilder app, IWebHostEnvironment env) { if (env.IsDevelopment()) { app.UseDeveloperExceptionPage(); } else { app.UseExceptionHandler("/Home/Error"); } app.UseStaticFiles(); app.UseRouting(); app.UseCookiePolicy(); app.UseAuthentication(); app.UseAuthorization(); app.UseEndpoints(endpoints => { endpoints.MapControllerRoute( name: "default", pattern: "{controller=Home}/{action=Index}/{id?}"); }); }
UseAuthentication将身份验证中间件添加到管道中;
UseAuthorization 将启动受权中间件添加到管道中,以便在每次调用主机时执行身份验证受权功能。
在HomeController控制器并添加[Authorize]
特性到其中一个方法。在进行请求的时候,需进行认证受权经过后,才能进行访问。
[Authorize] public IActionResult Privacy() { ViewData["Message"] = "Secure page."; return View(); }
还要修改主视图以显示用户的Claim以及cookie属性。
@using Microsoft.AspNetCore.Authentication <h2>Claims</h2> <dl> @foreach (var claim in User.Claims) { <dt>@claim.Type</dt> <dd>@claim.Value</dd> } </dl> <h2>Properties</h2> <dl> @foreach (var prop in (await Context.AuthenticateAsync()).Properties.Items) { <dt>@prop.Key</dt> <dd>@prop.Value</dd> } </dl>
访问 Privacy 页面,跳转到认证服务地址,进行帐号密码登陆,Logout 用于用户的注销操做。
在HomeController
控制器添加对API资源访问的接口方法。在进行请求的时候,访问API受保护资源。
/// <summary> /// 测试请求API资源(api1) /// </summary> /// <returns></returns> public async Task<IActionResult> getApi() { var client = new HttpClient(); var accessToken = await HttpContext.GetTokenAsync(OpenIdConnectParameterNames.AccessToken); if (string.IsNullOrEmpty(accessToken)) { return Json(new { msg = "accesstoken 获取失败" }); } client.DefaultRequestHeaders.Authorization = new AuthenticationHeaderValue("Bearer", accessToken); var httpResponse = await client.GetAsync("http://localhost:5003/api/identity/GetUserClaims"); var result = await httpResponse.Content.ReadAsStringAsync(); if (!httpResponse.IsSuccessStatusCode) { return Json(new { msg = "请求 api1 失败。", error = result }); } return Json(new { msg = "成功", data = JsonConvert.DeserializeObject(result) }); }
测试这里经过获取accessToken以后,设置client请求头的认证,访问API资源受保护的地址,获取资源。
在用户访问MVC程序时候,将用户导向认证服务器,
在客户端向受权服务器Authorization Endpoint
进行验证的时候,咱们能够发现,向受权服务器发送的请求附带的那些参数就是咱们以前说到的数据(clientid,redirect_url,type等)
继续往下看,发如今用户给予受权完成登陆以后,能够看到在登陆后,受权服务器向重定向URL地址同时带上一个受权码数据带给MVC程序。
随后MVC向受权客户端的Token终结点发送请求,从下图能够看到此次请求包含了client_id,client_secret,code,grant_type和redirect_uri,向受权服务器申请访问令牌token, 而且在响应中能够看到受权服务器核对了受权码和重定向地址URI,确认无误后,向第三方应用发送访问令牌(Access Token)和更新令牌(Refresh token)
完成获取令牌后,访问受保护资源的时候,带上令牌请求访问,能够成功响应获取用户信息资源。