.net core Identity整合IdentityServer(2) 實現IprofileService介面在accesstoken中增加自定義claims

導讀

1. 如何新增自定義的claims.

 

前請提要

目前我們擁有了三個web應用.

1. localhost:40010, 驗證伺服器
2. localhost:40011, mvc客戶端, 充當webapp請求者
3. localhost:40012, webapi, 資源, 受到驗證伺服器的保護

在http://localhost:40011/Home/secure登入之後, 我們看到了很多的claims, 其中有name, ( 來自aspnetUsers表的userName欄位)

那麼, 如果我想在accesstoken中增加其他的欄位呢, 比如, 使用者頭像url, 性別等等

那麼下面我們開始工作

開啟驗證伺服器(這次只需要修改驗證伺服器)的Model/ApplicationUser檔案, 新增兩個欄位

然後去對應的資料表增加兩個欄位.

新增一個ProfileService繼承自IdentityServer4.Services.IProfileService

public class CustomProfileService : IProfileService
    {
        private readonly IUserClaimsPrincipalFactory<ApplicationUser> _claimsFactory;
        private readonly UserManager<ApplicationUser> _userManager;

        public CustomProfileService(UserManager<ApplicationUser> userManager, IUserClaimsPrincipalFactory<ApplicationUser> claimsFactory)
        {
            _userManager = userManager;
            _claimsFactory = claimsFactory;
        }

        public async Task GetProfileDataAsync(ProfileDataRequestContext context)
        {
            //獲得登入使用者的ID
            var sub = context.Subject.GetSubjectId();
            var user = await _userManager.FindByIdAsync(sub);
            //建立一個以當前使用者為主體的憑證
            var principal = await _claimsFactory.CreateAsync(user);

            var claims = principal.Claims.ToList();
            //idsv伺服器的預設claim
            claims = claims.Where(claim => context.RequestedClaimTypes.Contains(claim.Type)).ToList();

            //自定義claims區間
            claims.Add(new Claim(JwtClaimTypes.GivenName, user.UserName));
            claims.Add(new Claim("headimgurl", user.HeadImgUrl));
            claims.Add(new Claim("gender", user.Gender));

            //設定claims
            context.IssuedClaims = claims;

        } 

        public async Task IsActiveAsync(IsActiveContext context)
        {
            var sub = context.Subject.GetSubjectId();
            var user = await _userManager.FindByIdAsync(sub);
            context.IsActive = user != null;
        } 
    }

然後在Startup的註冊idsv的地方新增自定義的ProfileService的注入即可

services.AddIdentityServer()
                 .AddDeveloperSigningCredential()
                 .AddInMemoryPersistedGrants()
                 .AddInMemoryIdentityResources(AuthorizationConfig.GetIdentityResources())
                 .AddInMemoryApiResources(AuthorizationConfig.ApiResources())
                 .AddInMemoryClients(AuthorizationConfig.Clients())
                 .AddAspNetIdentity<ApplicationUser>()
                 .AddProfileService<CustomProfileService>();

執行起所有的服務

左圖是mvc客戶端讀取的自定義claims, 右側是在mvc客戶端去請求受保護的webapi後, webapi拿到的資訊

 

注意

通過ProfileService的使用, 可以不受管制地向客戶端傳送claims.

這是什麼意思如何理解呢?

在我們的idsv的配置類中, 有IdentityResources, 有Clients, 有apiResources, 這些配置限制了客戶端能請求到的伺服器資源.

在客戶端程式中的startup中, 我們能看到一句程式碼

這就是客戶端新增能訪問的資源的地方.  我們將在以後的consent授權頁面去細說這方面的知識

那麼, 通過profileservice頒發的claims, 任意clients都能拿到