IdentityServer4深入使用(一)-- 认证与授权(上)

最新推荐文章于 2024-02-25 17:25:40 发布
最新推荐文章于 2024-02-25 17:25:40 发布
阅读量1.7k 收藏 6
点赞数 1
CC 4.0 BY-SA版权
分类专栏: #.net 文章标签: jwt 中间件 identityserver .net oauth2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/jeremyjone/article/details/115086044
本文介绍了IdentityServer4在认证与授权中的应用,讲解了OAuth2、OpenID Connect协议,以及如何结合两者。重点讨论了JWT的概念、使用场景和结构,包括Header、Payload和Signature,并展示了在.NET中使用JWT进行身份验证和授权的步骤。通过实例,阐述了认证(Authentication)与授权(Authorization)的区别,以ATM取款为例进行了生动说明。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

原文地址:https://www.jeremyjone.com/785/,转载请注明。

开始之前

更多学习内容,可以看我的 .NET 学习之路系列-认证与授权

先贴上官方地址:
IdentityServer 官方文档(英文)

英文麻烦的,可以看中文,但并不是官方的,同时内容也不是很全:
中文文档

学习之前,需要了解:

OAuth2 和 OpenID Connect 两种协议机制。

OAuth 2.0

OAuth2是一种协议,允许应用程序从安全令牌服务请求访问令牌并使用它们与API进行通信。由于可以集中身份验证和授权,因此这种委派降低了客户端应用程序和API的复杂性。

OpenID Connect

OpenID Connect是一种身份验证协议。它被认为是未来,因为它在现代应用程序中具有最大的潜力。它从一开始就针对移动应用程序场景而构建,并且旨在实现API友好。

结合 OAuth2 与 OpenID Connect

实际上,OpenID Connect是OAuth 2.0的扩展。身份验证和API访问这两个基本的安全问题被组合为一个协议,通常只需一次往返于安全令牌服务即可。在可预见的将来,OpenID Connect和OAuth 2.0的结合是保护现代应用程序安全的最佳方法。

file

IdentityServer

IdentityServer是将符合规范的OpenID Connect和OAuth 2.0端点添加到任意ASP.NET Core应用程序的中间件。

认证与授权

在学习 IdentityServer 之前,需要系统的了解认证与授权。

认证介绍

认证又称身份验证、鉴权等,其英文都是 Authentication。

认证是对用户进行身份校验。由用户提供凭据,然后将其与存储在服务端的凭据进行比较,如果匹配,则身份验证成功。只有在用户认证通过之后,系统才会执行向其授权的操作。

授权介绍

授权(Authorization)是指确定用户可执行的操作的过程。例如,允许管理用户创建文档库、添加文档、编辑文档和删除文档。使用库的非管理用户仅获得读取文档的权限。

授权有多种形式。 ASP.NET Core 的授权提供简单的声明性角色和基于策略的丰富模型。

对比认证与授权的例子

简单来说,就是你要去 ATM 机取钱:

  • 首先你要输密码,密码正确才能进入取钱的界面,否则可能被吞卡。这个过程就是认证。
  • 进入取钱界面,发现你是个普通用户,每天只能取 5000 块,所以你取 5000 块之内都是可以的。这就是授权。
  • 超过 5000 块怎么办?当然是被拒绝,因为没有权限嘛。这时候就要尝试提升权限啥的,这都是后话了。

认证

认证是确定用户身份的过程。在 .NET 中,身份验证由 IAuthenticationService 负责,而它供身份验证中间件使用。身份验证由 Startup.ConfigureServices 中的注册身份验证服务指定。

添加认证服务

例如,为程序添加 cookie 和 JWT 持有者分身验证方案:

services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme)
    .AddJwtBearer(JwtBearerDefaults.AuthenticationScheme, options => Configuration.Bind("JwtSettings", options))
    .AddCookie(CookieAuthenticationDefaults.AuthenticationScheme, options => Configuration.Bind("CookieSettings", options));

其中,JwtBearerDefaults.AuthenticationScheme 是方案名称,为请求特定方案时,都会默认使用此名称。

如果使用了多个方案,授权策略可指定对用户进行身份验证时要依据的一个或多个身份验证方案。如上,可通过指定 cookie 方案的名称来使用该方案进行验证。

添加认证中间件

在 Startup.Configure 中添加身份验证中间件,通过调用 UseAuthenticaiton 扩展方法来实现。中间件的添加需要顺序,要保持:

  • UseRouting 之后调用,以便路由信息可用于身份验证。
  • UseEndpoints 之前调用,以便用户在经过身份验证之后才能访问端点。
public void Configure(IApplicationBuilder app, IWebHostEnvironment env)
{
   
   
    if (env.IsDevelopment())
    {
   
   
        app.UseDeveloperExceptionPage();
    }
    else
    {
   
   
        app.UseExceptionHandler("/Error");
    }

    app.UseStaticFiles
最低0.47元/天 解锁文章

200万优质内容无限畅学
IdentityServer4认证授权设计方案详解及示例代码
XsfFsharp的博客
09-23 317
IdentityServer4个基于OpenID Connect和OAuth 2.0的开源认证授权解决方案,适用于.NET应用程序。客户端应用程序需要IdentityServer4进行集成,以进行身份验证和访问受保护的资源。通常,客户端应用程序需要使用OpenID Connect或OAuth 2.0协议IdentityServer4进行通信,获取访问令牌并访问受保护的资源。在上述示例中,IdentityServer4配置了个名为"api1"的API资源和个名为"client"的客户端。
ASP.NET Core IdentityServer4权限认证1.0
最新发布
qq_51016969的博客
09-26 808
.NET 6 或更高版本中,Startup.cs 已经合并到了 Program.cs 中。注意:从 IdentityServer4 v4 开始,由 Duende 维护,所以使用 Duende.IdentityServer 包。在项目中,右键点击项目名并选择 添加 -> 新建文件,选择 类,命名为 Config.cs。为了测试 IdentityServer4 的身份验证,你可以创建个受保护的 API。如 IdentityServer4Demo,并选择保存位置,点击 创建。
IdentityServer4实现OAuth2.0四种模式之客户端模式
dieya9314的博客
09-05 363
,准备内容 IdentityServer4 是Asp.net core的中间件,用于添加符合OpenId Connect和OAuth2.0规范的终端到Asp.net Core应用。在这里简单介绍下Openid和OAuth2.0。 OpenId:用户身份认证(Authentication)。当用户(End User)在微信、Google等OpenId提供者(OpenID Pr...
快速理解 IdentityServer4 中的认证 & 授权
dotNET跨平台
11-01 642
前言在实际的生产环境中,存在各种各样的应用程序相互访问,当用户访问app应用的时候,为了安全性考虑,通常都会要求搭配授权码或者安全令牌服务并访问,这样可有效地对Server端的API资源起到定程度的有效保护,大概流程如下:应用交互访问接下来我们就针对这个API 请求访问的过程进行详细的了解,那么通常会存在哪些交互模式呢?常见的交互模式在应用请求访问的过程中,最常见的交互模式有以下...
IdentityServer4构建独立的身份认证鉴权授权中心
weixin_43872830的博客
02-25 606
identityserver4
IdentityServer4深入使用(二)-- 认证授权(下)
一只小鹰
03-22 731
原文地址:https://www.jeremyjone.com/790/,转载请注明 开始之前 上篇文章已经学习了如何认证,本篇将深入学习如何授权,如果需要继续理解认证的,包括基础认证JWT 认证,以及如何在 .Net 项目中使用认证的,都可以看 上篇文章。 授权 授权通常是针对用户可执行的操作。在 .NET 的解决方案中,授权使用是非常简单的。它通过 AuthorizeAttribute 和其各种参数来控制。 所有的授权都是在认证之后的,如果开启了授权,而没有提供认证方案,则会报错。 下面的代码,都
IdentityServer4深入使用(六)-- 详解资源客户端的配置
一只小鹰
05-17 2261
原文地址: https://www.jeremyjone.com/835/,转载请注明。 前面已经写过完整的流程。今天分享下客户端的配置。 开始之前 更多内容,可以查看我的文档:.NET 学习之路-认证中心的配置 正文开始 在 IdentityServer 中,需要我们进行配置的内容,大体分成:IdentityResource、ApiScope、ApiResource 和 Client,它们都是在 IdentityServer4.Models 中定义的。 我们在创建个 Ids 服务之后,也要首先进行配
IdentityServer4深入使用(五)-- 数据持久化
一只小鹰
03-26 1999
原文地址:https://www.jeremyjone.com/800/,转载请注明。 开始之前 更多内容,可以看我的文档:.NET 学习之路-数据的持久化 正文开始 前面只是个最简单的基础使用方案,虽然已经实现了认证授权,但是明显并不能满足生产需求,下面就按不同需求进行配置。 上面的例子中,所有数据都在内存中,并不能持久化。如果要数据持久化,上数据库是必然的。 创建使用数据库的项目 通过命令可以快速创建个带有模板的项目: dotnet new is4ef 下载 示例代码 可以获取完整的配
IdentityServer4深入使用(三)-- Jwt
一只小鹰
03-24 1792
原文地址:https://www.jeremyjone.com/793/,转载请注明。 写在之前 更多学习内容,可以看我的 .NET 学习之路系列-Jwt。 什么是 JWT Jwt,Json Web Token 是个开放标准(RFC 7519),它定义了种紧凑且独立的方法,用于在各方之间安全地将信息作为 JSON 对象传输。由于此信息是经过数字签名的,因此可以被验证和信任。可以使用密码(使用 HMAC 算法)或使用 RSA 或 ECDSA 的公钥/私钥对对 JWT 进行签名。 基于 Token 的鉴权
基于Identity Server4OAuth 2.0授权总结(1)- Authorization Server
qq_39173779的博客
03-14 320
获取的Scope的信息最后会存储在AccessToken中供api服务器验证,Scope所包含的用户Claim也会包含在access token中。用来定义在认证的过程中存储在IdentityToken中的信息。令牌描述了用户标识,可以访问的资源的Scope,令牌本身的安全相关(有效期,签名等等)的信息。通过OAuth认证后,Authorization Server颁发给客户端用来描述用户的基本信息的JWT。至此,我们的Web应用就具有了Authorization Server的能力了。
2FAUsingIdentityServer4:.NET 5中使用IdentityServer4和Twilio的两因素身份验证演示
03-11
使用IdentityServer4,Twilio和.NET 5的两要素(2FA)身份验证 .NET 5中使用IdentityServer4和Twilio的两因素身份验证演示 设置Twilio帐户并获取SID,AuthToken和电话号码 在appsettings.json中更新Twilio配置 修改config.cs以使用电话添加/更新虚拟用户 运行项目。
IdentityServer4 授权鉴权原理
菜鸟厚非
05-09 621
token加密原理 客户端向IdentityServer获取token,IdentityServer会获取用户信息用私钥加密作为token,然后客户端拿着token请求服务,鉴权中心和服务实例并没有进行交互,服务实例怎样识别Token,这之间是怎样的验证的呢? 其实这里有个加密算法。 非对称可逆加密,加密Key和解密Key不同(对儿),而且无法推导 加密–content–result(原文加密为密文) 解密–result–content(通过密文解密为原文) 公开解密key-公钥 私藏加密key-私钥
keycloak 微服务认证_.Net Core微服务入门全纪录(七)——IdentityServer4授权认证
weixin_39601088的博客
11-21 855
点击上方蓝字"小黑在哪里"关注我吧前言上篇【.Net Core微服务入门全纪录()——EventBus-事件总线】中使用CAP完成了个简单的Eventbus,实现了服务之间的解耦和异步调用,并且做到数据的最终致性。这篇将使用IdentityServer4来搭建个鉴权中心,来完成授权认证相关的功能。IdentityServer4官方文档:https://identityserv...
(精华)2020年9月25日 微服务 身份验证、授权(Ocelot+IdentityServer4)
热门推荐
时光隧道
09-06 45万+
if (!(Test-Path -Path $PROFILE)) { New-Item -ItemType File -Path $PROFILE -Force }
ASP.NET Core 实现自定义认证
寒冰屋的专栏
03-30 2430
前言 在 ASP.NET Core 中,我们常使用基于 JWT认证: services.AddAuthentication(option=> { option.DefaultAuthenticateScheme=JwtBearerDefaults.AuthenticationScheme; option.DefaultChallengeScheme=JwtBearerDefaults.AuthenticationScheme; }).AddJwtBearer(op...
.NET Core 集成JWT认证
阿星Plus
09-07 416
JWT(Json web token)就不用过多的介绍了,在 .NET Core 开发中使用JWT进行认证也是比较常见的,而且接入过程也比较简单,随便配置配置就好了。要想使用JWT,仅仅...
NetCore使用Jwtbearer给WebAPI添加访问控制
weixin_30359021的博客
09-15 177
现在JWT代替session来做访问控制已经成为大部分webapi的做法,今天我们也来尝试下 WebAPI使用NetCore2.1创建,无身份认证信息 nuget安装包 IdentityModel 选择稳定版3.9.0 Microsoft.AspNetCore.Authorization 版本2.1.1 Microsoft.AspNetCore.Authenticati...
基于.NET6平台开发WebApi(十)—— 使用JWT进行用户鉴权
昨夜丶雨疏风骤的博客
01-18 5993
至此我们的项目已经可以正常运行了,但是聪明的你可能发现了个问题,那就是我们在第九章中将控制器基类中的[Authorize]标记注释掉了,而且我们添加了个CurrentUserId属性,没错,它就是为了用户鉴权使用的。用户登录可以说是WebApi必不可少的功能,本篇我们就来详细说说如何进行用户鉴权。 1、对于小型项目或者个人项目来说,可能规模比较小,而且不需要单点登录这样的功能,也就没有必要去单独建设IdentityServer服务器来实现鉴权,此处我们可以直接使用.NET自带的功能来实现JWT签发
ABP框架IdentityServer4分布式认证授权实战指南
"ABP框架IdentityServer4分布式认证授权学习手册v1.0,由Rex撰写,详述了如何在.NETCore环境下构建分布式认证授权系统。内容涵盖项目准备、认证授权服务工程创建、商品服务工程创建、核心服务类库定义、以及各种...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值