基于OpenIddict6.4.0搭建授权认证服务的web管理端-用户登录

原创 已于 2025-10-21 09:57:09 修改 · 312 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#openiddict #sso #oidc

于 2025-10-21 09:55:12 首次发布

什么是授权认证服务的管理端?

授权认证服务的Web管理端是一个图形化的管理后台,让管理员(而非普通用户)能够集中、可视化的管理和控制整个身份认证与授权系统。它是整个SSO、OAuth 2.0、OpenID Connect系统的“大脑”和“控制台”。

授权认证服务的管理端需要登录吗?如何登录?

绝对需要,而且其登录安全要求是最高级别的。

管理端的登录过程,本身就是其核心能力的一次完美演示。通常流程如下:

  1. 访问管理端地址:管理员在浏览器中输入一个特定的URL(例如 https://sso-admin.your-company.com/Account/Login)。

  2. 重定向到登录页:管理端会立即将管理员重定向到它自己所管理的那个统一的认证服务登录页面。这非常关键——管理端自己就是它服务的第一个“客户”

  3. 管理员身份认证

    • 管理员输入自己的高权限账户(不是普通用户账户)和密码。

    • 系统通常会强制要求进行多因素认证,比如输入手机验证码或使用生物识别,以确保是管理员本人在操作。

  4. 授权与登录

    • 认证通过后,认证服务会颁发一个令牌给管理员浏览器。

    • 浏览器带着这个令牌回到管理端,管理端验证令牌有效后,才允许管理员进入并看到管理界面。

基于OpenIddict的实践

预期部署架构

项目许可证
授权中心服务https://xxx.com/passport
授权中心服务web管理端https://xxx.com/passport/Account/Login

最佳实践

新增AccountController.cs登录控制器

using Microsoft.AspNetCore.Authentication.Cookies;
using Microsoft.AspNetCore.Authentication;
using Microsoft.AspNetCore.Mvc;
using OpenIddict.Abstractions;
using System.Security.Claims;
using Microsoft.AspNetCore.Authorization;
using Passport.Models;
using Passport.Services;
using Microsoft.AspNetCore.Identity;
using Passport.Domain.Models;
using System.Security.Policy;
using Microsoft.IdentityModel.Tokens;
using static OpenIddict.Abstractions.OpenIddictConstants;
using System.Collections.Immutable;

namespace Passport.Controllers
{
    [Route("Account")]
    public class AccountController : Controller
    {
        private readonly ILogger<AccountController> _logger;
        private readonly UserManager<ApplicationUser> _userManager;
        private readonly SignInManager<ApplicationUser> _signInManager;

        public AccountController(ILogger<AccountController> logger, SignInManager<ApplicationUser> signInManager, UserManager<ApplicationUser> userManager)
        {
            _logger = logger;
            _signInManager = signInManager;
            _userManager = userManager;
        }

        [HttpGet("login")]
        public IActionResult Login([FromQuery] string returnUrl)
        {
            return View(new LoginViewModel() { ReturnUrl = returnUrl });
        }

        /// <summary>
        /// 登录
        /// </summary>
        /// <param name="model"></param>
        /// <returns></returns>
        [HttpPost("login")]
        public async Task<IActionResult> Login([FromBody] LoginViewModel model)
        {
            var badRequestResult = new ResultData();
            var error = string.Empty;
            // 1. 使用 SignInManager 进行密码验证
            var result = await _signInManager.PasswordSignInAsync(
                       model.UserName,
                       model.Password,
                       isPersistent: model.RememberMe,
                       lockoutOnFailure: false); // 不启用登录失败锁定
            if (result.Succeeded)
            {
                // 2. 登录成功,获取用户信息
                var user = await _userManager.FindByNameAsync(model.UserName);
                if (user == null)
                {
                    error = "用户不存在";
                    badRequestResult.SetCodeMsg("error", error);
                    return StatusCode(StatusCodes.Status401Unauthorized, badRequestResult);
                }
                if (user.IsEnabled == false)
                {
                    error = "用户已禁用";
                    badRequestResult.SetCodeMsg("error", error);
                    return StatusCode(StatusCodes.Status401Unauthorized, badRequestResult);
                }
                var url = string.IsNullOrEmpty(model.ReturnUrl) || model.ReturnUrl == "/" ? "" : model.ReturnUrl;
                return Ok(new { Success = true, Url = url });
            }
            else if (result.IsLockedOut)
            {
                error = "账户已被锁定,请稍后重试";
            }
            else if (result.RequiresTwoFactor)
            {
                error = "需要双因素认证";
            }
            else
            {
                error = "用户名或密码错误";
            }
            badRequestResult.SetCodeMsg("error", error);
            return StatusCode(StatusCodes.Status401Unauthorized, badRequestResult);
        }
    }
}

新增Login.cshtml

<form id="smsForm">
    <!-- 账号 -->
    <div class="form-item">
        <div class="account-box">
            <input class="input"
                   type="text"
                   placeholder="账号"
                   id="account"
                   required />
        </div>
    </div>
    <div class="form-item">
        <div class="password-wrapper">
            <input class="input"
                   type="password"
                   id="password"
                   name="password"
                   placeholder="密码"
                   required
                   autocomplete="current-password" />
            <span class="toggle-password" id="togglePassword">👁️</span>
        </div>
        <div id="errorMsg" style="margin-top:5px;color: #fa2a2d;font-size: 12px">
        </div>
    </div>
    <!-- 
    <div class="agree">
        <input type="checkbox" id="rememberMe" name="rememberMe" />
        <div for="rememberMe">
            记住我
        </div>
    </div>
    -->
    <!-- 勾选 -->
    <div class="agree">
        <input type="checkbox" id="agree" name="rememberMe" checked />
        <div for="agree">
            记住我
        </div>
    </div>

    <!-- 登录 -->
    <button id="submit-btn" class="submit-btn" type="submit">登 录</button>
</form>

新增首页控制器HomeController.cs(需要登录后才能访问,加入特性[Authorize])

using Passport.API.Controllers;
using Passport.API.Models;
using Passport.Domain;
using Passport.Models;
using Passport.Services;
using Microsoft.AspNetCore.Authorization;
using Microsoft.AspNetCore.Mvc;
using OpenIddict.Abstractions;
using System.Diagnostics;
using System.Security.Claims;
using static OpenIddict.Abstractions.OpenIddictConstants;

namespace Passport.Controllers
{
    [Authorize]
    public class HomeController : Controller
    {
        private readonly ILogger<HomeController> _logger;

        public HomeController(ILogger<HomeController> logger, Session session, IUserService userService)
        {
            _logger = logger;
            _session = session;
        }

        /// <summary>
        /// 首页
        /// </summary>
        /// <returns></returns>
        [Authorize]
        public async Task<IActionResult> Index()
        {
            var userName = User.Identity.Name;
            return View(new HomeViewModel() { UserName=userName });
        }
    }
}

新增首页页面Index.cshtml

@model Passport.API.Models.HomeViewModel
<!DOCTYPE html>
<html lang="zh-CN">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>授权中心</title>
    <link rel="stylesheet" type="text/css" href="~/css/index.css">
</head>
<body>
    @await Html.PartialAsync("Header")
    <main class="main-content">
        <div class="welcome-section">
            <h2>您好,{Model.UserName},欢迎使用授权中心</h2>
        </div>
    </main>
</body>
</html>

登录后会成功写入浏览器cookie,此时登录就成功了。

总结:

  1. 登录核心方法使用SignInManager提供的方法完成登录并写入cookie,也可以通过await HttpContext.SignInAsync手动实现
  2. 登录后默认cooike保存为会话级别,可以通过isPersistent参数控制cookie保存时长。

深入了解 OpenIddict:实现 OAuth 2.0 和 OpenID Connect 协议的 .NET 库
net core ,前端 ,python 全栈开发
05-04 2324
OpenIddict 是一个强大且易于集成的 .NET 库,专为 OAuth 2.0 和 OpenID Connect 协议的实现而设计。无论你是构建一个简单的认证系统,还是需要支持复杂的授权认证场景,OpenIddict 都能提供高效的解决方案。通过其与 ASP.NET Core 的深度集成,开发者可以快速实现现代化的身份验证系统,保证系统的安全性和灵活性。通过本文的介绍,你可以快速上手 OpenIddict,在你的应用中实现完整的认证授权机制,为用户提供安全、可靠的身份验证服务
ABP框架之OpenIddict分布式认证授权学习手册v1.0
06-13
快进来,带你入坑~~~
.NET权限工作流框架-TPTABP
l358584167的专栏
08-14 294
采用ABP6.0服务架构。TPTABP拥有更强大的权限系统,权限可控制到按钮、api级别。身份管理,提供高级身份验证功能, 如单点登录和API访问控制。满足绝大部分企业需求。
认证授权安全框架:IdentityServer到OpenIddict
gitblog_00518的博客
08-22 1070
认证授权安全框架:IdentityServer到OpenIddict 【免费下载链接】awesome-dotnet quozd/awesome-dotnet: 这个资源列表集合了.NET开发领域的优秀工具、库、框架和软件等,是.NET开发者的一个宝库,有助于发现和学习.NET生态系统中的各种有用资源。 ...
openIddict This server only accepts HTTPS requests (openIddict http无法获取token解决)
ztan
12-17 2820
openIddict获取token的请求必须时https的,但是奇怪的是我域名确实是https访问的,只有nginx 配置反向代理时使用http。没办法只能去官网文档找不找看了。进行登录使用发现获取token的接口无法正常返回数据,接口返回有如下提示: This server only accepts HTTPS requests。随后我在Google上面找到了答案 https://github.com/openiddict/openiddict-core/issues/864
mingw-w64 x86-64-6.4.0-release-posix-sjlj-rt-v5-rev0.7z
03-19
mingw-w64 x86-64-6.4.0-release-posix-sjlj-rt-v5-rev0.7z
fontawesome-pro-6.4.0-web
09-15
3. **CSS和SVG**: Font Awesome通过Web字体服务提供图标,用户可以通过CSS类来添加图标,也可以直接使用SVG图标。CSS方式允许通过CSS控制图标的颜色、大小、阴影等样式,SVG方式则提供了更好的性能和可交互性。 4. ...
详解ElasticSearch6.4.0集群搭建
08-26
"详解ElasticSearch 6.4.0 集群搭建" ElasticSearch 是一个基于 Lucene 的搜索服务器,提供了分布式搜索引擎的功能。下面详解了 ElasticSearch 6.4.0 集群搭建的过程。 软件及环境准备 为了搭建 ElasticSearch ...
notebook-6.4.0a1-py3-none-any.whl
05-24
Python社区提供了大量的第三方库,如NumPy、Pandas和Requests,极大地丰富了Python的应用领域,从数据科学到Web开发。Python库的丰富性是Python成为最受欢迎的编程语言之一的关键原因之一。这些库不仅为初学者提供了...
notebook-6.4.0a0-py3-none-any.whl
05-24
Python社区提供了大量的第三方库,如NumPy、Pandas和Requests,极大地丰富了Python的应用领域,从数据科学到Web开发。Python库的丰富性是Python成为最受欢迎的编程语言之一的关键原因之一。这些库不仅为初学者提供了...
通过OpenIddict设计一个授权服务03-客户凭证流程
01-17
通过OpenIddict设计一个授权服务03-客户凭证流程
openIddict-practice:OpenIddict身份验证服务练习
02-13
openIddict-practice:OpenIddict身份验证服务练习
ABP官方文档(三十五)【导航栏】
极客神殿
11-05 2300
6.4 ABP表现层 - 导航栏每一个WEB应用程序都有导航菜单,Abp也为用户提供了通用的创建和显示菜单方式。6.4.1 创建菜单一个应用程序可能包含不同的模块,而每个模块都可能有它自己的菜单项。在Abp中,需要创建一个派生自NavigationProvider的类来定义一个菜单项。假设我们有一个这样的主菜单: Tasks Reports Administration1 User Manageme
【亲测免费】 探索OpenIddict:强大的身份验证和授权框架
最新发布
gitblog_00099的博客
11-13 931
OpenIddict是一个开源的身份验证和授权框架,专为OAuth 2.0和OpenID Connect协议设计。这个项目提供了一系列的样例应用,帮助开发者理解如何在不同的流中使用OpenIddict,涵盖从基础到高级的各种应用场景。 ## 项目介绍 OpenIddict的核心目标是帮助开发者构建安全、标准兼容的身份验证服务。它不仅支持常见的授权码流程,还涵盖了设备授权、客户端凭据等多种认证
在ABP框架中使用OAuth 2.0的推送授权请求(PAR)
寒冰屋的专栏
03-26 215
在ABP框架中使用OAuth 2.0的推送授权请求(PAR)
推荐文章:探索授权管理新境界 —— OpenIddict 授权服务
gitblog_00757的博客
08-21 965
推荐文章:探索授权管理新境界 —— OpenIddict 授权服务器 项目介绍 在当今数字化时代,安全地管理应用间的身份验证和授权成为了开发者面临的首要挑战之一。OpenIddict 是一个基于 .NET 的开源项目,其最新力作——Authorization Server: OpenIddict,为开发人员提供了一个实现OAuth2和OpenID Connect协议的强大工具箱。通过本项目,你可以...
Abp vnext框架基础数据表解析
滴水成河,汇流成海
10-29 2551
Abp vnext框架的系统默认的数据表解析
OpenIddict核心库实战指南
gitblog_00106的博客
10-10 1149
--- ## 项目介绍 OpenIddict 是一个灵活且功能丰富的 .NET 平台下的 OAuth 2.0 和 OpenID Connect 栈。它旨在提供一种多样化的方案来在 .NET 应用程序中实现 OpenID Connect 客户端、服务器及令牌验证功能。该项目不仅支持ASP.NET 4.6.1+和ASP.NET Core 2.1+的web应用,其客户端特性更可适用于Android、...
智睿学校网上评课系统 v6.4.0:基于Web的教师评课与教学管理平台
综上所述,智睿学校网上评课系统 v6.4.0 是一个基于ASP技术构建的典型教育类Web信息系统,具备完整的用户管理体系、安全的身份验证机制、灵活的评课内容编辑功能以及高效的信息反馈通道。它将传统教学评价流程迁移至...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值