asp.net core系列 56 IS4使用OpenID Connect添加用户认证

一.概述

  在前二篇中讲到了客户端授权的二种方式: GrantTypes.ClientCredentials凭据授权和GrantTypes.ResourceOwnerPassword密码授权,都是OAuth2.0协议。本篇使用OpenID Connect添加用户认证,客户端授权是GrantTypes.Implicit隐式流授权,是OCID协议。 本篇示例中只有二个项目:一个IdentityServer的mvc应用程序,一个客户端mvc应用程序(用户client端)。

    下面介绍身份认证交互流程:

      (1) 先启动IdentityServer程序http://localhost:5000

      (2) 启动客户端MvcClient程序http://localhost:5002

      (3) Client用户访问http://localhost:5002/Secure时,想获取个人信息和资料信息,如果用户没有进行身份认证,OIDC会重定向

      (4) 重定向到IdentityServer服务端站点的登录页:http://localhost:5000/Account/Login?ReturnUrl=xxx

  (5) 用户登录成功后。自动跳回到MvcClient客户端站点,访问地址http://localhost:5002/Home/Secure。获取了当前个人信息和资料信息

  上面的步骤了解到:Client用户要访问个人信息时,必须先进行,交互式用户身份验证Account/Login,验证通过后,客户端浏览器会保存服务令牌在cookie中。 需要注意的是:在隐式授权中,令牌是通过浏览器传输,在MvcClient客户端程序中用HttpClient获取cookie中的令牌来请求api,返回是http 401状态。

  从Github中下载开源项目,可以快速入门启动OpenID Connect协议的交互式用户身份验证支持。在实际项目中,也可以将示例中的控制器,视图,模型和CSS整合到自己项目的IdentityServer Web应用程序中。

  

二. IdentityServer MVC应用程序

  因为是交互式用户身份验证,必须有UI界面,所以IdentityServer是一个MVC应用程序。下面是示例项目目录:

    Account:客户端站点重定向到服务端站点,用于用户登录或注销。

    Grants: 用于撤销客户端访问权限。

    Consent :是用户登录成功后,跳转到授权许可的UI界面。用户可以决定是否要将他的身份信息发布到客户端应用程序。

    Device :是设备流交互服务。

    Diagnostics: 是诊断查看个人身份认证cookie信息。

  1.1 定义客户端

    在config.cs类中,定义客户端,将 OpenID Connect隐式流添加到客户端。基于OpenID Connect的客户端与OAuth 2.0客户端非常相似。但由于OIDC中的流程始终是交互式的,因此我们需要在配置中添加一些重定向URL。

      public static IEnumerable<Client> GetClients()
        {
            return new List<Client>
            {
                new Client
                {
                    ClientId = "client",

                    // no interactive user, use the clientid/secret for authentication
                    AllowedGrantTypes = GrantTypes.ClientCredentials,

                    // secret for authentication
                    ClientSecrets =
                    {
                        new Secret("secret".Sha256())
                    },

                    // scopes that client has access to
                    AllowedScopes = { "api1" }
                },
                // resource owner password grant client
                new Client
                {
                    ClientId = "ro.client",
                    AllowedGrantTypes = GrantTypes.ResourceOwnerPassword,

                    ClientSecrets =
                    {
                        new Secret("secret".Sha256())
                    },
                    AllowedScopes = { "api1" }
                },
                // OpenID Connect implicit flow client (MVC)
                new Client
                {
                    ClientId = "mvc",
                    ClientName = "MVC Client",
                    AllowedGrantTypes = GrantTypes.Implicit,

                    //OIDC中的流程始终是交互式的
                    //登录后要重定向到哪里
                    RedirectUris = { "http://localhost:5002/signin-oidc" },

                    // 注销后重定向到哪里
                    PostLogoutRedirectUris = { "http://localhost:5002/signout-callback-oidc" },

                    //与OAuth 2.0类似,OpenID Connect也使用范围概念,与OAuth相比,OIDC中的范围不代表API,而是代表用户ID,名称或电子邮件地址等身份数据。
                    AllowedScopes = new List<string>
                    {
                        //主题id,也是用户唯一ID(最低要求)
                        IdentityServerConstants.StandardScopes.OpenId,
                        //个人信息的claims,名称或电子邮件地址等身份数据
                        IdentityServerConstants.StandardScopes.Profile
                    }
                }
            };
        }

  1.2 定义OIDC范围

        public static IEnumerable<IdentityResource> GetIdentityResources()
        {
            return new List<IdentityResource>
            {
                new IdentityResources.OpenId(),
                new IdentityResources.Profile(),
            };
        }

  

  1.3 在Startup启动类中启动 IdentityServer服务

            var builder = services.AddIdentityServer()
                .AddInMemoryIdentityResources(Config.GetIdentityResources())
                .AddInMemoryApiResources(Config.GetApis())
                .AddInMemoryClients(Config.GetClients())
                .AddTestUsers(Config.GetUsers());    

二. MvcClient 客户端应用程序

  2.1 Startup启动类

    添加对OpenID Connect身份验证的支持,在启动时将以下代码添加到ConfigureServices方法中:

       public void ConfigureServices(IServiceCollection services)
        {
            services.AddMvc();
            //关闭了JWT声明类型映射
            JwtSecurityTokenHandler.DefaultInboundClaimTypeMap.Clear();

            //添加authentication 到服务集合中
            services.AddAuthentication(options =>
                {
                    //使用cookie本地登录用户
                    options.DefaultScheme = "Cookies";
                    //用户登录时,使用OpenID连接协议。
                    options.DefaultChallengeScheme = "oidc";
                })
                //添加对cookie的处理支持
                .AddCookie("Cookies")
                //oidc处理程序
                .AddOpenIdConnect("oidc", options =>
                {
                    //受信任的IdentityServer服务地址
                    options.Authority = "http://localhost:5000";
                    options.RequireHttpsMetadata = false;
                    //客户端标识
                    options.ClientId = "mvc";
                    //将IdentityServer中的令牌持久化到cookie中(客户端浏览器中)
                    options.SaveTokens = true;

                });
        }
        public void Configure(IApplicationBuilder app, IHostingEnvironment env)
        {
            if (env.IsDevelopment())
            {
                app.UseDeveloperExceptionPage();
            }
            else
            {
                app.UseExceptionHandler("/Home/Error");
            }

            //每个请求都能执行身份验证服务
            app.UseAuthentication();

            app.UseStaticFiles();
            app.UseMvcWithDefaultRoute();
        }    

  

  2.2 访问个人信息  

    由于使用的是OpenID Connect,是基于浏览器的交互式身份认证。在action中添加一个[Authorize],会触发身份验证握手。下面Secure方法,显示当前用户的声明以及cookie属性。 握手时重定向到IdentityServer服务站点下进行登录。

      //身份验证握手,采用oidc,重定向到IdentityServer进行登录
        [Authorize]
        public IActionResult Secure()
        {
            ViewData["Message"] = "Secure page.";

            return View();
        }

    下面是Secure视图:

@using Microsoft.AspNetCore.Authentication

<h2>Claims</h2>

<dl>
    <!-- 显示用户声明-->
    @foreach (var claim in User.Claims)
    {
        <dt>@claim.Type</dt>
        <dd>@claim.Value</dd>
    }
</dl>

<h2>Properties</h2>

<dl>
    <!-- 显示身份认中的cookie -->
    @foreach (var prop in (await Context.AuthenticateAsync()).Properties.Items)
    {
        <dt>@prop.Key</dt>
        <dd>@prop.Value</dd>
    }
</dl>

  

  2.3 注销

    使用IdentityServer等身份验证服务,仅清除本地应用程序cookie是不够的(客户端浏览器)。此外,还需要向IdentityServer进行往返以清除中央单点登录会话。

    public IActionResult Logout()
    {
        return SignOut("Cookies", "oidc");
    }

    触发Logout后,会清除本地cookie(客户端浏览器),然后重定向到IdentityServer。IdentityServer将清除其cookie(服务端浏览器),然后为用户提供返回MVC应用程序的链接。

 参考文献

  使用OpenID Connect添加用户认证

 

原文地址:https://www.cnblogs.com/MrHSR/p/10723291.html

时间: 2024-11-05 06:14:03

asp.net core系列 56 IS4使用OpenID Connect添加用户认证的相关文章

.NET Core IdentityServer4实战 第二章-OpenID Connect添加用户认证

原文:.NET Core IdentityServer4实战 第二章-OpenID Connect添加用户认证 内容:本文带大家使用IdentityServer4进行使用OpenID Connect添加用户认证 作者:zara(张子浩) 欢迎分享,但需在文章鲜明处留下原文地址. 在这一篇文章中我们希望使用OpenID Connect这种方式来验证我们的MVC程序(需要有IdentityServer4),我们首先需要干什么呢?那就是搞一个UI,这样非常美观既可以看到我们的身份验证效果,那么Iden

asp.net core系列 55 IS4使用Identity密码保护API

原文:asp.net core系列 55 IS4使用Identity密码保护API 一.概述 OAuth 2.0资源(web api)所有者密码授权,允许客户端(Client项目)向令牌服务(IdentityServer项目)发送用户名和密码,并获取代表该用户的访问令牌.在官方文档中讲到:规范通常建议不要使用“资源所有者密码授权”.当用户进行身份验证并请求访问令牌时,使用一个交互式OpenID Connect流程通常要好得多(下篇再了解). 本篇介绍“资源所有者密码授权”是因为这种授权允许我们快

asp.net core系列 58 IS4 基于浏览器的JavaScript客户端应用程序

一. 概述 本篇探讨使用"基于浏览器的JavaScript客户端应用程序".与上篇实现功能一样,只不过这篇使用JavaScript作为客户端程序,而非core mvc的后台代码HttpClient实现. 功能一样:用户首先要登录IdentityServer站点,再使用IdentityServer发出的访问令牌调用We??b API,可以注销IdentityServer站点下登录的用户,清除cookie中的令牌信息.所有这些都将来自浏览器中运行的JavaScript. 此示例还是三个项目

IdentityServer4 使用OpenID Connect添加用户身份验证

使用IdentityServer4 实现OpenID Connect服务端,添加用户身份验证.客户端调用,实现授权. IdentityServer4 目前已更新至1.0 版,在之前的文章中有所介绍.IdentityServer4 ASP.NET Core的OpenID Connect OAuth 2.0框架学习保护API . 本文环境:IdentityServer4 1.0  .NET Core 1.0.1 下面正式开始. 新建IdentityServer4服务端 服务端也就是提供服务,如QQ

IdentityServer4(9)- 使用OpenID Connect添加用户身份验证(implicit)

在本快速入门中,我们希望通过 OpenID Connect 协议向我们的 IdentityServer 添加对用户认证交互的支持. 我们将创建一个将使用 IdentityServer 进行身份认证的MVC应用程序. 添加UI OpenID Connect 所需的所有协议支持都已内置到 IdentityServer 中.您需要为提供必要的UI部件:登录,注销,同意授权和错误页面. 根据业务场景的不同对 IdentityServer 的实现也有所不同,但我们提供了一个基于 MVC 的示例UI,您可以

SpringCloud系列五:为Eureka Server添加用户认证及元数据

1. 回顾 上一篇博客讲解了Eureka集群及将微服务注册到集群上.在前面的讲解中,Eureka Server都是允许匿名访问的,本次将讲解如何构建一个需要登录才能访问的Eureka Server. 2. 为Eureka Server添加用户认证 > 复制项目 microservice-discovery-eureka,将ArtifactId修改为 microservice-discovery-eureka-authenticating. > 在pom.xml中添加spring-boot-st

ASP.NET CORE系列【五】webapi整理以及RESTful风格化

原文:ASP.NET CORE系列[五]webapi整理以及RESTful风格化 介绍 什么是RESTful?  这里不多做赘述,详情请百度! 哈哈,本来还想巴拉巴拉介绍一些webapi, RESTful的, 还是算了,咱们直接上干货!(原因是懒!哈哈) 使用 以前使用过mvc的人对webapi 应该都很熟悉,先看一段熟悉的代码 大伙发现了什么没?跟以往mvc大多数相同,但有些地方不同 ,我们来一起看看有何区别 1.首先SysUsersController上面有一段代码 [Produces("a

ASP.NET CORE系列【一】搭建ASP.NET CORE项目

原文:ASP.NET CORE系列[一]搭建ASP.NET CORE项目 为什么要使用 ASP.NET Core? NET Core 刚发布的时候根据介绍就有点心里痒痒,微软的尿性都懂的,新东西bug太多,现在2.0也发布很久了,决定研究一下. ASP.NET Core官方文档https://docs.microsoft.com/en-us/aspnet/core/getting-started ASP.NET Core 具有如下优点: 生成 Web UI 和 Web API 的统一场景. 集成

ASP.NET CORE系列【二】使用Entity Framework Core进行增删改查

原文:ASP.NET CORE系列[二]使用Entity Framework Core进行增删改查 介绍 EntityFrameworkCore EF core 是一个轻量级的,可扩展的EF的跨平台版本.对于EF而言 EF core 包含许多提升和新特性,同时 EF core 是一个全新的代码库,并不如 EF6 那么成熟和稳定.EF core 保持了和EF相似的开发体验,大多数顶级API都被保留了下来,所以,如果你用过EF6,那么上手EF core你会觉得非常轻松和熟悉,EF core 构建在一