ABP vNext + OpenIddict:自定义 OAuth2/OpenID Connect 认证策略

最新推荐文章于 2025-10-17 17:28:30 发布
原创 最新推荐文章于 2025-10-17 17:28:30 发布 · 1.3k 阅读 · 12 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#ABP vNext #.net #后端 #c#

ABP vNext + OpenIddict:自定义 OAuth2/OpenID Connect 认证策略 🚀

📑 目录

🧠 背景与核心设计思路

大型 SaaS 系统常见需求:

  1. 自定义身份来源(API Key、Device Flow)
  2. 多租户隔离与 SSO
  3. 精细化 Scope/资源管理

ABP 的 OpenIddict 模块提供 Handler 模型 插槽,轻松插入自定义授权逻辑。

🛠 依赖注入与启动配置

public class AuthServerModule : AbpModule
{
   
   
    public override void ConfigureServices(ServiceConfigurationContext context)
    {
   
   
        var services = context.Services;

        // ➤ 注册 OpenIddict 核心 + Server + Validation
        services.AddOpenIddict()
            .AddCore(options => {
   
    /* 实体存储等 */ })
            .AddServer(options => {
   
    /* 稍后配置 */ })
            .AddValidation(options => {
   
    /* 稍后配置 */ });

        // ➤ 多租户解析
        services.Configure<AbpTenantResolveOptions>(opts =>
        {
   
   
            opts.Resolvers.Insert(0, new HeaderTenantResolveContributor());
            opts.Resolvers.Insert(1, new DomainTenantResolveContributor());
        });
    }
}

🔑 系统配置:注册 Token 授权管道

PreConfigure<OpenIddictBuilder>(builder =>
{
   
   
    builder.AddServer(options =>
    {
   
   
        // —— 端点 ——  
        options.SetTokenEndpointUris("/connect/token")
               .SetAuthorizationEndpointUris("/connect/authorize")
               .SetDeviceEndpointUris("/connect/device");

        // —— Grant & Scope ——  
        options.RegisterGrantType("api_key_grant")
               .AllowPasswordFlow()
               .AllowClientCredentialsFlow()
               .AllowRefreshTokenFlow()
               .AllowExtensionGrantType("api_key_grant")
               .SetDefaultScopes("api", "profile");

        // —— 有效期 ——  
        options.SetAccessTokenLifetime(TimeSpan.FromHours(2))
               .SetRefreshTokenLifetime(TimeSpan.FromDays(7));

        // —— ASP.NET Core 集成 ——  
        options.UseAspNetCore()
               .EnableTokenEndpointPassthrough();

        // —— 自定义 Handler ——  
        options.AddEventHandler<HandleTokenRequestContext>(cfg =>
            cfg.UseScopedHandler<ApiKeyGrantHandler>()
               .SetOrder(OpenIddictServerHandlers.Authentication.ValidateTokenRequest.Descriptor.Order + 1)
               .SetFilter(ctx => ctx.Request.GrantType == "api_key_grant"));
    });

    builder.AddValidation(options =>
    {
   
   
        options.UseLocalServer();
        options.UseAspNetCore();
    });
});

🔧 自定义授权处理器:ApiKeyGrantHandler

public class ApiKeyGrantHandler : IOpenIddictServerHandler<HandleTokenRequestContext>
{
   
   
    private readonly IApiKeyValidator _apiKeyValidator;
    private readonly ICurrentTenant   _currentTenant;
    private readonly ILogger<ApiKeyGrantHandler> _logger;

    public ApiKeyGrantHandler(
        IApiKeyValidator apiKeyValidator,
        ICurrentTenant   currentTenant,
        ILogger<ApiKeyGrantHandler> logger)
    {
   
   
        _apiKeyValidator = apiKeyValidator;
        _currentTenant   = currentTenant;
        _logger          = logger;
    }

    public async ValueTask HandleAsync(HandleTokenRequestContext context)
    {
   
   
        using var scope = _logger.BeginScope(new {
   
    GrantType = "api_key" });
        try
        {
   
   
            var apiKey = context.Request.GetParameter("api_key")?.ToString();
            if (string.IsNullOrWhiteSpace(apiKey))
            {
   
   
                context.Reject(Errors.InvalidRequest, "Missing API Key");
                return;
            }

            var userId = await _apiKeyValidator.ValidateAsync(apiKey);
            if (string.IsNullOrEmpty(userId))
            {
   
   
                context.Reject(Errors.InvalidGrant, "Invalid API Key");
                return;
            }

            var tenantId = _currentTenant.Id?.ToString() ?? "default";

            var claims =
最低0.47元/天 解锁文章
abp vnext框架自定义扩展volo.abp.openiddict的登录验证
滴水成河,汇流成海
03-26 894
ABP vNext 框架下,可以通过扩展 OpenIddict 的 ITokenExtensionGrant 接口来自定义登录验证逻辑
通过OpenIddict设计一个授权服务器01-介绍
qq_36437991的博客
01-15 1503
通过OpenIddict设计一个授权服务器01-介绍
abp Vnext OpenIddect 扩展微信小程序授权登录
逸只猫の博客
04-04 3057
abp vnext6.0之后官方替换了原来的ids4,采用了openIddictoauth认证框架。使用之前的方法已经不行,以下是OpenIddect 使用ITokenExtensionGrant接口进行的授权登入扩展,按照以下代码可实现,欢迎交流指正。
基于OpenIddict6.4.0搭建授权认证服务
最新发布
ml344739968的专栏
10-17 885
什么是 OpenIddictOpenIddict 旨在提供一种,以在任何 .NET 应用程序中实现。入门如果您正在寻找不涉及编写自定义逻辑的交钥匙解决方案,请考虑查看和:它们开箱即用地支持 OpenIddict,并且是实现标准 OpenID Connect 服务器的最佳选择(即使您不熟悉该标准!如果您更喜欢实施自定义解决方案,请阅读。中找到其他集成(免费或商业)。为什么不选择。
通过OpenIddict设计一个授权服务器03-客户凭证流程
01-17
通过OpenIddict设计一个授权服务器03-客户凭证流程
ABP Vnext OpenIddect 扩展授权登录&扩展Grant Type
逸只猫の博客
07-19 1619
本文介绍了如何在ABP vNext 6.0框架中通过OpenIddict实现第三方OAuth授权登录(如钉钉、微信)。重点讲解了扩展授权机制的实现方式:通过继承ITokenExtensionGrant接口的AbstractTokenExtensionGrant抽象类,开发者可自定义授权流程。代码示例展示了如何处理授权返回数据、服务器验证用户信息等核心步骤,并提供了错误处理机制。该方法适用于分层或单层架构,为ABP项目集成第三方登录提供了标准化解决方案。
ABP框架之OpenIddict分布式认证授权学习手册v1.0
06-13
快进来,带你入坑~~~
Abp-Vnext OpenIddict授权中心完全重写Login界面
C的博客
07-31 647
修改登录 AuthServer
ABP VNext + Webhook:订阅与异步回调
Kookoos的博客
05-25 1705
ABP VNext框架提供了一套完整的Webhook处理方案,核心功能包括: 1️⃣ 安全验证:通过HMAC签名和动态密钥管理防止伪造请求 2️⃣ 幂等控制:结合分布式锁和缓存实现事件唯一处理 3️⃣ 多厂商支持:策略模式统一不同支付平台回调接口 4️⃣ 重试机制:后台任务自动处理失败请求 5️⃣ 监控运维:集成Prometheus指标和Grafana看板 方案采用模块化设计,包含签名验证服务、幂等处理服务和策略工厂等核心组件,有效解决了Webhook场景下的安全防护、重复处理和系统可观测性问题。
ABP VNext + Mapster:高性能对象映射
Kookoos的博客
07-27 890
本文基于 .NET 9 和 ABP VNext 9.2,介绍如何用 Mapster 通过编译时代码生成、映射缓存等技术,将 DTO↔实体转换速度提升至亚微秒级,并深度集成依赖注入、模块化架构。结合 BenchmarkDotNet 对比 AutoMapper,展示 Mapster 在高并发场景下的性能优势,并给出定制映射规则、EF Core IQueryable 映射、CI/CD 集成与热更新等最佳实践。
ABP VNext + Temporal:分布式工作流与 Saga
Kookoos的博客
07-19 1641
本文介绍如何在 ABP VNext 中集成 Temporal .NET SDK,通过 Workflow、Activity、Worker 宿主和补偿模式实现可重试、高可用的分布式 Saga 工作流,涵盖 OpenTelemetry 拦截、Patch API、Continue-as-New 及本地测试示例。
openiddict-core:适用于ASP.NET Core 2.13.15.0和Microsoft.Owin 4.1(与ASP.NET 4.6.1兼容)的通用OpenID Connect堆栈
02-05
OpenIddict 您将沉迷于OpenID Connect堆栈。 什么是OpenIddictOpenIddict旨在提供一种通用解决方案,以在任何ASP.NET Core 2.1、3.1和5.0应用程序中实现OpenID Connect服务器和令牌验证,并且从OpenIddict 3.0开始,任何也使用Microsoft.Owin的ASP.NET 4.x应用程序。 OpenIddict完全支持,和。 您还可以创建自己的自定义授予类型。 OpenIddict本机支持 , 和开箱即用,但您也可以提供自己的存储。 我想要一些简单易用的配置 强烈建议寻求简单易用的解决方案的开发人员使用基于
openIddict-practice:OpenIddict身份验证服务练习
02-13
openIddict-practice:OpenIddict身份验证服务练习
ABP vNext + OpenIddict:多租户授权中心
Kookoos的博客
07-10 1177
本文将带你基于 .NET 8、ABP vNext 8.x 与 OpenIddict 4.x,构建一个高性能、高可用、可复现的多租户 OAuth 2.0/OpenID Connect 授权中心。涵盖从模块依赖、动态租户隔离、客户端/资源管理、外部登录、细粒度授权,到监控审计、Token 清理与生产部署的全流程最佳实践。
AbpVnext OpenIddict证集成Hangfire,localhost正常,发布后报错Error from RemoteAuthentication: Correlation failed
mansai的专栏
04-15 972
AbpVnext OpenIddict或IdentifyServer前后端分离模式,集成Hangfire登录
Abp vnext + OpenIddict的授权械与适应场景
滴水成河,汇流成海
01-15 1574
如果你有特殊的授权需求,可以自定义扩展模式。例如,你可以实现一个自定义的授权类型,如微信扫码登录。适用场景适用于需要集成第三方登录或自定义授权逻辑的应用。配置示例// 业务逻辑})});
【亲测免费】 探索ABP框架与OpenIddict:分布式认证授权的完美结合
gitblog_06673的博客
10-31 677
探索ABP框架与OpenIddict:分布式认证授权的完美结合 去发现同类优质开源项目:https://gitcode.com/ 项目介绍 在现代软件开发中,分布式认证授权是构建安全、可扩展应用的关键环节。ABP框架与OpenIddict的结合,为开发者提供了一套强大的工具,帮助他们快速实现这一复杂功能。ABP框架之OpenIddict分布式认证授权学习手册v1.0正是为此而生,它不仅是一份详尽的...
abp openiddict请求token时不返回refresh token
雨中深巷的油纸伞
02-01 1218
abp openiddict请求token时不返回refresh token
Vue + Volo.Abp 实现OAuth2.0客户端授权模式认证
jevonsflash的专栏
07-07 2391
只需要清除vuex或Cookies中的token即可,可以调用vue-oidc-client的signOut,但只是跳转到配置的登出地址,不会清除token(前提是redirectAfterSignout为true,并设置了post_logout_redirect_uri)创建continue/index.vue,简单的显示登录成功的提示,常用的提示有“登录成功,正在为您继续”,“登录成功,正在为您跳转”等友好提示。(D)客户端收到授权码,附上早先的"重定向URI",向认证服务器申请令牌。
Abp vNext入门指南:从零到实践
"Abp vNext学习手册v1.0 是一份适合新手的入门教程,旨在帮助不熟悉Abp官网文档的读者快速掌握Abp vNext框架。手册涵盖了Abp vNext的核心概念、模块化、项目创建以及实战演练,包括实体、数据库、权限管理、多租户、...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Kookoos

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值