快速入門IdentityServer4
-
概述
-
- 將 IdentityServer 新增到 ASP.NET Core 應用程式
- 配置 IdentityServer
- 為各種客戶發行代幣
- 保護 Web 應用程式和 API
- 新增對基於 EntityFramework 的配置的支援
- 新增對 ASP.NET 標識的支援
- 準備
- 安裝模板
控制檯視窗輸入該命令,下載 IdentityServer 模板
dotnet new -i IdentityServer4.Templates //
-
- 建立專案
開啟控制檯視窗,請在控制檯視窗鍵入以下命令
md quickstart //建立資料夾,資料夾名稱quickstart cd quickstart //進入資料夾quickstart md src //建立資料夾,資料夾名稱src cd src //進入資料夾src dotnet new is4empty -n IdentityServer //建立空專案,專案名稱IdentityServer
命令執行完成後,將會建立以下檔案
IdentityServer.csproj- 專案檔案和一個Properties\launchSettings.json檔案
Program.cs和Startup.cs- 主應用程式入口點
Config.cs - IdentityServer 資源和客戶端配置檔案
如果需要使用Visual Studio作為開發工具,我們還需要建立解決方案檔案,命令如下:
dotnet new sln -n Quickstart
我們需要將檔案新增至解決方案,命令如下:(請注意路徑是否正確)
dotnet sln add .\src\IdentityServer\IdentityServer.csproj
- 開始學習
專案建立成功之後,將會為我們建立config 檔案,Config檔案的程式碼如下:
1 using IdentityServer4.Models; 2 using System.Collections.Generic; 3 4 namespace IdentityServer 5 { 6 public static class Config 7 { 8 public static IEnumerable<IdentityResource> IdentityResources => 9 new IdentityResource[] 10 { 11 new IdentityResources.OpenId() 12 }; 13 14 public static IEnumerable<ApiScope> ApiScopes => 15 new ApiScope[] 16 { }; 17 18 public static IEnumerable<Client> Clients => 19 new Client[] 20 { }; 21 } 22 }
- 自定義API範圍
1 public static IEnumerable<ApiScope> ApiScopes => 2 new List<ApiScope> 3 { 4 new ApiScope("api1", "MyApiName") 5 };
//ApiScope建構函式提供兩個引數,第一個引數為name,第二個引數為displayname
如果您在生產環境種使用自定義API範圍,您為您的API提供一個邏輯名稱很重要,開發人員將使用它通過您的身份伺服器請求您的API,它應該用簡單的術語向開發人員描述您的api,displayname為使用者提供apiScope的描述名稱
- 定義客戶端
我們將要定義一個客戶端應用程式,我們將用它來訪問我們的API,對於這種情況,客戶端沒有互動式使用者,並將使用IdentityServer使用客戶端金鑰進行身份驗證。為此我們需要新增一個客戶端
1 public static IEnumerable<Client> Clients => 2 new[] 3 { 4 new Client 5 { 6 ClientId = "client", 7 8 AllowedGrantTypes=GrantTypes.ClientCredentials, 9 10 ClientSecrets = 11 { 12 new Secret("secret","sha256") 13 }, 14 AllowedScopes = { "api1" } 15 } 16 };
您可以將 ClientId 和 ClientSecret 視為應用程式本身的登入名和密碼。它向身份伺服器標識您的應用程式,以便它知道哪個應用程式正在嘗試連線到它。
- 配置身份伺服器
在Startup.cs檔案中的ConfigureServices方法種定義資源和客戶端,程式碼如下:
1 public void ConfigureServices(IServiceCollection services) 2 { 3 // uncomment, if you want to add an MVC-based UI 4 //services.AddControllersWithViews(); 5 6 var builder = services.AddIdentityServer(options => 7 { 8 // see https://identityserver4.readthedocs.io/en/latest/topics/resources.html 9 options.EmitStaticAudienceClaim = true; 10 }) 11 .AddInMemoryIdentityResources(Config.IdentityResources) 12 .AddInMemoryApiScopes(Config.ApiScopes) 13 .AddInMemoryClients(Config.Clients); 14 15 // not recommended for production - you need to store your key material somewhere secure 16 builder.AddDeveloperSigningCredential(); 17 }
配置您的身份伺服器之後,訪問路徑https://localhost:5001/.well-known/openid-configuration,我們將會看到發現文件,發現文件是身份伺服器種的標準節點,您的客戶端和API將使用該文件來檢視必要的配置資料,節點文件如下:
1 { 2 "issuer":"https://localhost:5001", 3 "jwks_uri":"https://localhost:5001/.well-known/openid-configuration/jwks", 4 "authorization_endpoint":"https://localhost:5001/connect/authorize", 5 "token_endpoint":"https://localhost:5001/connect/token", 6 "userinfo_endpoint":"https://localhost:5001/connect/userinfo", 7 "end_session_endpoint":"https://localhost:5001/connect/endsession", 8 "check_session_iframe":"https://localhost:5001/connect/checksession", 9 "revocation_endpoint":"https://localhost:5001/connect/revocation", 10 "introspection_endpoint":"https://localhost:5001/connect/introspect", 11 "device_authorization_endpoint":"https://localhost:5001/connect/deviceauthorization", 12 "frontchannel_logout_supported":true, 13 "frontchannel_logout_session_supported":true, 14 "backchannel_logout_supported":true, 15 "backchannel_logout_session_supported":true, 16 "scopes_supported":[ 17 "openid", 18 "api1", 19 "offline_access" 20 ], 21 "claims_supported":[ 22 "sub" 23 ], 24 "grant_types_supported":[ 25 "authorization_code", 26 "client_credentials", 27 "refresh_token", 28 "implicit", 29 "urn:ietf:params:oauth:grant-type:device_code" 30 ], 31 "response_types_supported":[ 32 "code", 33 "token", 34 "id_token", 35 "id_token token", 36 "code id_token", 37 "code token", 38 "code id_token token" 39 ], 40 "response_modes_supported":[ 41 "form_post", 42 "query", 43 "fragment" 44 ], 45 "token_endpoint_auth_methods_supported":[ 46 "client_secret_basic", 47 "client_secret_post" 48 ], 49 "id_token_signing_alg_values_supported":[ 50 "RS256" 51 ], 52 "subject_types_supported":[ 53 "public" 54 ], 55 "code_challenge_methods_supported":[ 56 "plain", 57 "S256" 58 ], 59 "request_parameter_supported":true 60 }
在第一次啟動時,IdentityServer 會為你建立一個開發者簽名金鑰,它是一個名為tempkey.jwk. 您不必將該檔案簽入您的原始碼管理,如果它不存在,它將被重新建立
- 新增API測試
建立API專案,命令如下:
dotnet new webapi -n Api
將API專案新增至解決方案
dotnet sln add .\src\Api\Api.csproj
修改API專案的應用配置,修改執行埠號,我們可以通過編輯Properties 資料夾中的launchSettings.json檔案來執行此操作,將應用程式的URL設定更改為:
"applicationUrl": "https://localhost:6001"
- 新增控制器
我們新建一個類,為IdentityController,此測試類將用於測試授權要求,以及通過API視覺化身份識別
1 using System; 2 using System.Collections.Generic; 3 using System.Linq; 4 using System.Threading.Tasks; 5 using Microsoft.AspNetCore.Authorization; 6 using Microsoft.AspNetCore.Mvc; 7 8 namespace Api.Controllers 9 { 10 [Route("identity")] 11 [Authorize] 12 public class IdentityController: ControllerBase 13 { 14 public IActionResult Get() 15 { 16 return new JsonResult(from c in User.Claims select new { c.Type, c.Value }); 17 } 18 } 19 }
新增NuGet包依賴專案:Microsoft.AspNetCore.Authentication.JwtBearer,我們可以手動新增,也可以執行如下命令:
dotnet add .\\src\\api\\Api.csproj package Microsoft.AspNetCore.Authentication.JwtBearer
- 配置
最後一步是將身份驗證服務新增到DI(依賴注入) 並將身份驗證中介軟體新增到管道中,這些操作將:
-
- 驗證傳入的令牌以確保它來自受信任者的發行者
- 驗證令牌是否有效與此API一起使用
我們檢視以下API中的Startup程式碼,我們將其更新如下:
1 using System; 2 using System.Collections.Generic; 3 using System.Linq; 4 using System.Threading.Tasks; 5 using Microsoft.AspNetCore.Builder; 6 using Microsoft.AspNetCore.Hosting; 7 using Microsoft.AspNetCore.HttpsPolicy; 8 using Microsoft.AspNetCore.Mvc; 9 using Microsoft.Extensions.Configuration; 10 using Microsoft.Extensions.DependencyInjection; 11 using Microsoft.Extensions.Hosting; 12 using Microsoft.Extensions.Logging; 13 using Microsoft.IdentityModel.Tokens; 14 using Microsoft.OpenApi.Models; 15 16 namespace Api 17 { 18 public class Startup 19 { 20 public Startup(IConfiguration configuration) 21 { 22 Configuration = configuration; 23 } 24 25 public IConfiguration Configuration { get; } 26 27 // This method gets called by the runtime. Use this method to add services to the container. 28 public void ConfigureServices(IServiceCollection services) 29 { 30 31 services.AddControllers(); 32 services.AddSwaggerGen(c => 33 { 34 c.SwaggerDoc("v1", new OpenApiInfo { Title = "Api", Version = "v1" }); 35 }); 36 37 services.AddAuthentication("Bearer").AddJwtBearer("Bearer", options => 38 { 39 options.Authority = "https://localhost:5001"; 40 41 options.TokenValidationParameters = new TokenValidationParameters 42 { 43 ValidateAudience = false 44 }; 45 }); 46 47 } 48 49 // This method gets called by the runtime. Use this method to configure the HTTP request pipeline. 50 public void Configure(IApplicationBuilder app, IWebHostEnvironment env) 51 { 52 if (env.IsDevelopment()) 53 { 54 app.UseDeveloperExceptionPage(); 55 app.UseSwagger(); 56 app.UseSwaggerUI(c => c.SwaggerEndpoint("/swagger/v1/swagger.json", "Api v1")); 57 } 58 59 app.UseHttpsRedirection(); 60 61 app.UseRouting(); 62 63 app.UseAuthentication(); 64 app.UseAuthorization(); 65 66 app.UseEndpoints(endpoints => 67 { 68 endpoints.MapControllers(); 69 }); 70 71 } 72 } 73 }
AddAuthentication將身份驗證服務新增到 DI 並配置Bearer為預設方案。
UseAuthentication 將身份驗證中介軟體新增到管道中,因此每次呼叫主機時都會自動執行身份驗證。
UseAuthorization 新增授權中介軟體以確保匿名客戶端無法訪問我們的 API 端點。
https://localhost:6001/identity在瀏覽器上導航到控制器應返回 401 狀態程式碼。這意味著您的 API 需要憑證並且現在受 IdentityServer 保護。