IdentityServer4 知多少

1. 引言

現在的應用開發層出不窮，基於瀏覽器的網頁應用，基於微信的公眾號、小程式，基於IOS、Android的App，基於Windows系統的桌面應用和UWP應用等等，這麼多種類的應用，就給應用的開發帶來的挑戰，我們除了分別實現各個應用外，我們還要考慮各個應用之間的互動，通用模組的提煉，其中身份的認證和授權就是每個應用必不可少的的一部分。而現在的網際網路，對於資訊保安要求又十分苛刻，所以一套統一的身份認證和授權就至關重要。

IdentityServer4就是這樣一個框架，IdentityServer4是為ASP.NET CORE量身定製的實現了OpenId Connect和OAuth2.0協議的認證授權中介軟體。

下面我們就來介紹一下相關概念，並梳理下如何整合IdentityServer4。
也可瀏覽自行整理的IdentityServer4 百度腦圖快速瞭解。

2. OAuth2.0 && OpenId Connect

2.1. OpenId

OpenID 是一個以使用者為中心的數字身份識別框架，它具有開放、分散性。OpenID 的建立基於這樣一個概念：我們可以通過 URI （又叫 URL 或網站地址）來認證一個網站的唯一身份，同理，我們也可以通過這種方式來作為使用者的身份認證。

簡而言之：OpenId用於身份認證（Authentication）。

2.2. OAuth 2.0

OAuth（開放授權）是一個開放標準，目前的版本是2.0。允許使用者授權第三方移動應用訪問他們儲存在其他服務商上儲存的私密的資源（如照片，視訊，聯絡人列表），而無需將使用者名稱和密碼提供給第三方應用。
OAuth允許使用者提供一個令牌而不是使用者名稱和密碼來訪問他們存放在特定服務商上的資料。每一個令牌授權一個特定的網站內訪問特定的資源（例如僅僅是某一相簿中的視訊）。這樣，OAuth可以允許使用者授權第三方網站訪問他們儲存在另外服務提供者的某些特定資訊，而非所有內容。
OAuth是OpenID的一個補充，但是完全不同的服務。

簡而言之：OAuth2.0 用於授權（Authorization）。關於OAuth2.0也可參考我的另一篇博文OAuth2.0 知多少。

2.3. OpenId Connect

OpenID Connect 1.0 是基於OAuth 2.0協議之上的簡單身份層，它允許客戶端根據授權伺服器的認證結果最終確認終端使用者的身份，以及獲取基本的使用者資訊；它支援包括Web、移動、JavaScript在內的所有客戶端型別去請求和接收終端使用者資訊和身份認證會話資訊；它是可擴充套件的協議，允許你使用某些可選功能，如身份資料加密、OpenID提供商發現、會話管理等。

簡而言之：OpenId Connect = OIDC = Authentication + Authorization + OAuth2.0。

比如，Facebook、Google、QQ、微博都是比較知名的OpenId Connect提供商。

3. 術語解釋

瞭解完OpenId Connect和OAuth2.0的基本概念，我們再來梳理下涉及到的相關術語：

1. User：使用者
2. Client：客戶端
3. Resources：Identity Data（身份資料）、Apis
4. Identity Server：認證授權伺服器
5. Token：Access Token（訪問令牌）和 Identity Token（身份令牌）
   

4. JwtBearer 認證

4.1. HTTP身份驗證流程

HTTP提供了一套標準的身份驗證框架：伺服器可以用來針對客戶端的請求傳送質詢(challenge)，客戶端根據質詢提供身份驗證憑證。質詢與應答的工作流程如下：伺服器端向客戶端返回401（Unauthorized，未授權）狀態碼，並在WWW-Authenticate頭中新增如何進行驗證的資訊，其中至少包含有一種質詢方式。然後客戶端可以在請求中新增Authorization頭進行驗證，其Value為身份驗證的憑證資訊。

HTTP身份驗證流程

Bearer認證（也叫做令牌認證）是一種HTTP認證方案，其中包含的安全令牌的叫做Bearer Token。因此Bearer認證的核心是Token。那如何確保Token的安全是重中之重。一種方式是使用Https，另一種方式就是對Token進行加密簽名。而JWT就是一種比較流行的Token編碼方式。

4.2. JWT（Json Web Token)

Json web token (JWT), 是為了在網路應用環境間傳遞宣告而執行的一種基於JSON的開放標準（RFC 7519）。該token被設計為緊湊且安全的，特別適用於分散式站點的單點登入（SSO）場景。JWT的宣告一般被用來在身份提供者和服務提供者間傳遞被認證的使用者身份資訊，以便於從資源伺服器獲取資源，也可以增加一些額外的其它業務邏輯所必須的宣告資訊，該token也可直接被用於認證，也可被加密。

JWT有三部分組成：

<header>.<payload>.<signature>

1. Header：由alg和typ組成，alg是algorithm的縮寫，typ是type的縮寫，指定token的型別。該部分使用Base64Url編碼。
2. Payload：主要用來儲存資訊，包含各種宣告，同樣該部分也由BaseURL編碼。
3. Signature：簽名，使用伺服器端的金鑰進行簽名。以確保Token未被篡改。

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret)

5. 授權模式

OAuth2.0 定義了四種授權模式：

1. Implicit：簡化模式；直接通過瀏覽器的連結跳轉申請令牌。
2. Client Credentials：客戶端憑證模式；該方法通常用於伺服器之間的通訊；該模式僅發生在Client與Identity Server之間。
3. Resource Owner Password Credentials：密碼模式
4. Authorization Code：授權碼模式；

5.1. Client Credentials

客戶端憑證模式

客戶端憑證模式，是最簡單的授權模式，因為授權的流程僅發生在Client與Identity Server之間。

該模式的適用場景為伺服器與伺服器之間的通訊。比如對於一個電子商務網站，將訂單和物流系統分拆為兩個服務分別部署。訂單系統需要訪問物流系統進行物流資訊的跟蹤，物流系統需要訪問訂單系統的快遞單號資訊進行物流資訊的定時重新整理。而這兩個系統之間服務的授權就可以通過這種模式來實現。

5.2. Resource Owner Password Credentials

密碼模式

Resource Owner其實就是User，所以可以直譯為使用者名稱密碼模式。密碼模式相較於客戶端憑證模式，多了一個參與者，就是User。通過User的使用者名稱和密碼向Identity Server申請訪問令牌。這種模式下要求客戶端不得儲存密碼。但我們並不能確保客戶端是否儲存了密碼，所以該模式僅適用於受信任的客戶端。否則會發生密碼洩露的危險。該模式不推薦使用。

5.3. Authorization Code

授權碼模式是一種混合模式，是目前功能最完整、流程最嚴密的授權模式。它主要分為兩大步驟：認證和授權。
其流程為：

1. 使用者訪問客戶端，客戶端將使用者導向Identity Server。
2. 使用者填寫憑證資訊向客戶端授權，認證伺服器根據客戶端指定的重定向URI，並返回一個【Authorization Code】給客戶端。
3. 客戶端根據【Authorization Code】向Identity Server申請【Access Token】

5.4. Implicit

簡化模式

簡化模式是相對於授權碼模式而言的。其不再需要【Client】的參與，所有的認證和授權都是通過瀏覽器來完成的。

6. IdentityServer4 整合

如何整合Identity Server

通過以上知識點的梳理，我們對OpenId Connect 和OAuth2.0的一些相關概念有了大致認識。而IdentityServer4是為ASP.NET CORE量身定製的實現了OpenId Connect和OAuth2.0協議的認證授權中介軟體。
所以自然而然我們對IdentityServer4有了基礎的認識。下面就來介紹如何整合IdentityServer4。其主要分為三步：

1. IdentityServer如何配置和啟用IdentityServer中介軟體
2. Resources如何配置和啟用認證授權中介軟體
3. Client如何認證和授權

6.1. Identity Server 中介軟體的配置和啟用

作為一個獨立的Identity Server，它必須知道哪些資源需要保護，必須知道哪些客戶端能夠允許訪問，這是配置的基礎。
所以IdentityServer中介軟體的配置的核心就是：

1. 配置受保護的資源列表
2. 配置允許驗證的Client

public class Startup
{
    public void ConfigureServices(IServiceCollection services)
    {
        services.AddMvc();
        // configure identity server with in-memory stores, keys, clients and scopes
        services.AddIdentityServer()
            .AddDeveloperSigningCredential()
             //配置身份資源
            .AddInMemoryIdentityResources(Config.GetIdentityResources())
              //配置API資源
            .AddInMemoryApiResources(Config.GetApiResources())
             //預置允許驗證的Client
            .AddInMemoryClients(Config.GetClients())
            .AddTestUsers(Config.GetUsers());
        services.AddAuthentication()
              //新增Google第三方身份認證服務（按需新增）
            .AddGoogle("Google", options =>
            {
                options.SignInScheme = IdentityServerConstants.ExternalCookieAuthenticationScheme;
                options.ClientId = "434483408261-55tc8n0cs4ff1fe21ea8df2o443v2iuc.apps.googleusercontent.com";
                options.ClientSecret = "3gcoTrEDPPJ0ukn_aYYT6PWo";
            })
            //如果當前IdentityServer不提供身份認證服務，還可以新增其他身份認證服                務提供商
            .AddOpenIdConnect("oidc", "OpenID Connect", options =>
            {
                options.SignInScheme = IdentityServerConstants.ExternalCookieAuthenticationScheme;
                options.SignOutScheme = IdentityServerConstants.SignoutScheme;
                options.Authority = "https://demo.identityserver.io/";
                options.ClientId = "implicit";
                options.TokenValidationParameters = new TokenValidationParameters
                {
                    NameClaimType = "name",
                    RoleClaimType = "role"
                };
            });
    }
    public void Configure(IApplicationBuilder app, IHostingEnvironment env)
    {
        if (env.IsDevelopment())
        {
            app.UseDeveloperExceptionPage();
        }
        //新增IdentityServer中介軟體到Pipeline
        app.UseIdentityServer();
        app.UseStaticFiles();
        app.UseMvcWithDefaultRoute();
    }

配置完，新增IdentityServer到Pipeline即可。

如果要支援第三方登入服務或自己實現的OpenId Connect服務，則需要額外配置下身份認證中介軟體。

6.2. Resources的保護配置

配置完Identity Server，接下來我們該思考如何來保護Resources，以及如何將所有的認證和授權請求導流到Identity Server呢？
在此之前，我們還是要梳理下Client訪問Resources的請求順序：

1. Client請求資源，資源如果需要進行身份認證和授權，則將請求導流到Identity Server。
2. Identity Server根據Client配置的授權型別，返回【Token】。
3. Client要能夠驗證【Token】的正確性。

所以針對要保護的資源，我們需要以下配置：

1. 指定資源是否需要保護；
2. 指定IdentityServer用來進行認證和授權跳轉；
3. Client攜帶【Token】請求資源。
4. 受保護的資源伺服器要能夠驗證【Token】的正確性。

程式碼示例：

//使用[Authorize]特性，來顯式指定受保護的資源
[Route("[controller]")]
[Authorize]
public class IdentityController : ControllerBase
{
    [HttpGet]
    public IActionResult Get()
    {
        return new JsonResult(from c in User.Claims select new { c.Type, c.Value });
    }
}

public class Startup
{
    public void ConfigureServices(IServiceCollection services)
    {
        services.AddMvcCore()
            .AddAuthorization()
            .AddJsonFormatters();
        //指定認證方案
        services.AddAuthentication("Bearer")
              //新增Token驗證服務到DI
            .AddIdentityServerAuthentication(options =>
            {
                //指定授權地址
                options.Authority = "http://localhost:5000";
                options.RequireHttpsMetadata = false;
                options.ApiName = "api1";
            });
    }
    public void Configure(IApplicationBuilder app)
    {
        //新增認證中介軟體到Pipeline
        app.UseAuthentication();
        app.UseMvc();
    }
}

6.3. Client的請求配置

資源和認證伺服器都配置完畢，接下來客戶端就可以直接訪問了。
如果針對控制檯客戶端應用，三步走就可以訪問Api：

1. 使用DiscoverClient發現Token Endpoint
2. 使用TokenClient請求Access Token
3. 使用HttpClient訪問Api

程式碼示例如下：

// discover endpoints from metadata
var disco = await DiscoveryClient.GetAsync("http://localhost:5000");
// request token（使用的是ClientCredentials授權型別）
var tokenClient = new TokenClient(disco.TokenEndpoint, "client", "secret");
var tokenResponse = await tokenClient.RequestClientCredentialsAsync("api1")
if (tokenResponse.IsError)
{
    Console.WriteLine(tokenResponse.Error);
    return;
}
Console.WriteLine(tokenResponse.Json);
Console.WriteLine("\n\n");
// call api
var client = new HttpClient();
client.SetBearerToken(tokenResponse.AccessToken);

如果針對ASP.NET Web控制檯客戶端，我們先來回答一個問題：

1. 如果Web應用是否需要登入？
2. 如果需要登入，就需要進行身份認證。
3. 身份認證成功後，也就需要會話狀態的維持。

回答完上面的問題，我們也就梳理出了配置要點：

1. 新增身份認證中介軟體
2. 啟用Cookie進行會話保持
3. 新增OIDC，使用我們自己定義的IdentityServer提供的認證服務

public void ConfigureServices(IServiceCollection services)
{
    services.AddMvc();
    JwtSecurityTokenHandler.DefaultInboundClaimTypeMap.Clear();
    services.AddAuthentication(options =>
        {
            options.DefaultScheme = "Cookies";
            options.DefaultChallengeScheme = "oidc";
        })
        .AddCookie("Cookies")
        .AddOpenIdConnect("oidc", options =>
        {
            options.SignInScheme = "Cookies";
            options.Authority = "http://localhost:5000";
            options.RequireHttpsMetadata = false;
            options.ClientId = "mvc";
            options.SaveTokens = true;
        });
}
public void Configure(IApplicationBuilder app, IHostingEnvironment env
{
    if (env.IsDevelopment())
    {
        app.UseDeveloperExceptionPage();
    }
    else
    {
        app.UseExceptionHandler("/Home/Error");
    }
    app.UseAuthentication();
    app.UseStaticFiles();
    app.UseMvcWithDefaultRoute();
}

7. 最後

本文通過介紹IdentityServer4涉及到的術語和相關概念，再結合官方例項，梳理了整合IdentityServer4的大致思路。而關於如何與ASP.NET Identity、EF Core整合，本文並未涉及，詳參官方文件。