導讀
1. 如何新增自定義的claims.
前請提要
目前我們擁有了三個web應用.
- localhost:40010, 驗證伺服器
- localhost:40011, mvc客戶端, 充當webapp請求者
- localhost:40012, webapi, 資源, 受到驗證伺服器的保護
在http://localhost:40011/Home/secure登入之後, 我們看到了很多的claims, 其中有name, ( 來自aspnetUsers表的userName欄位)
那麼, 如果我想在accesstoken中增加其他的欄位呢, 比如, 使用者頭像url, 性別等等
那麼下面我們開始工作
開啟驗證伺服器(這次只需要修改驗證伺服器)的Model/ApplicationUser檔案, 新增兩個欄位
新增一個ProfileService繼承自IdentityServer4.Services.IProfileService
public class CustomProfileService : IProfileService { private readonly IUserClaimsPrincipalFactory<ApplicationUser> _claimsFactory; private readonly UserManager<ApplicationUser> _userManager; public CustomProfileService(UserManager<ApplicationUser> userManager, IUserClaimsPrincipalFactory<ApplicationUser> claimsFactory) { _userManager = userManager; _claimsFactory = claimsFactory; } public async Task GetProfileDataAsync(ProfileDataRequestContext context) { //獲得登入使用者的ID var sub = context.Subject.GetSubjectId(); var user = await _userManager.FindByIdAsync(sub); //建立一個以當前使用者為主體的憑證 var principal = await _claimsFactory.CreateAsync(user); var claims = principal.Claims.ToList(); //idsv伺服器的預設claim claims = claims.Where(claim => context.RequestedClaimTypes.Contains(claim.Type)).ToList(); //自定義claims區間 claims.Add(new Claim(JwtClaimTypes.GivenName, user.UserName)); claims.Add(new Claim("headimgurl", user.HeadImgUrl)); claims.Add(new Claim("gender", user.Gender)); //設定claims context.IssuedClaims = claims; } public async Task IsActiveAsync(IsActiveContext context) { var sub = context.Subject.GetSubjectId(); var user = await _userManager.FindByIdAsync(sub); context.IsActive = user != null; } }然後在Startup的註冊idsv的地方新增自定義的ProfileService的注入即可
services.AddIdentityServer()
.AddDeveloperSigningCredential()
.AddInMemoryPersistedGrants()
.AddInMemoryIdentityResources(AuthorizationConfig.GetIdentityResources())
.AddInMemoryApiResources(AuthorizationConfig.ApiResources())
.AddInMemoryClients(AuthorizationConfig.Clients())
.AddAspNetIdentity<ApplicationUser>()
.AddProfileService<CustomProfileService>();
執行起所有的服務
左圖是mvc客戶端讀取的自定義claims, 右側是在mvc客戶端去請求受保護的webapi後, webapi拿到的資訊
注意
通過ProfileService的使用, 可以不受管制地向客戶端傳送claims.
這是什麼意思如何理解呢?
在我們的idsv的配置類中, 有IdentityResources, 有Clients, 有apiResources, 這些配置限制了客戶端能請求到的伺服器資源.
在客戶端程式中的startup中, 我們能看到一句程式碼
這就是客戶端新增能訪問的資源的地方. 我們將在以後的consent授權頁面去細說這方面的知識
那麼, 通過profileservice頒發的claims, 任意clients都能拿到