IdentityServer3:.NET开源OpenID和OAuth2架构

最新推荐文章于 2022-05-10 09:38:32 发布
转载 最新推荐文章于 2022-05-10 09:38:32 发布 · 391 阅读 · 0

博客介绍了大多数软件相互沟通需授权和身份验证,阐述了IdentityServer3的功能,如Web认证、SSO单点登录等,解释了相关概念。还详细说明了开始使用IdentityServer3的步骤,包括新建控制台应用作为IdentityServer、Client,新建Web API作为资源等,并提供了相关资源链接。

 

 简介

大多数软件的相互沟通图:客户端与Web应用程序的访问、应用与Web api、api与api……相互沟通则需要授权、身份验证

 

 

 IdentityServer3的功能:Web认证、SSO单点登录、Web Api访问权限(常用的这三个)

RP:依赖方

OP:OpenID Provider

IP:Id Provider

STS:安全令牌服务

Scope:范围标识(身份、资源)

用户(User)访问客户端、客户端(Client: 如Web或APP)向IdentityServer请求token,OP返回身份token\访问token,每一种资源都有一个标识范围(身份信息,授权资源信息都有一个对应的scope标识),OP会获取资源(RP)的Scope

 

开始使用IdentityServer3

1、新建一个控制台应用作为IdentityServer

安装:install-package identityserver3

 新建Client.cs:在IdentityServer注册Client信息

复制代码

using IdentityServer3.Core.Models;
using System.Collections.Generic;

namespace IdSrv
{
    static class Clients
    {
        public static List<Client> Get()
        {
            return new List<Client>
            {
                // no human involved
                new Client
                {
                    ClientName = "Silicon-only Client",
                    ClientId = "silicon",
                    Enabled = true,
                    AccessTokenType = AccessTokenType.Reference,

                    Flow = Flows.ClientCredentials,
                    
                    ClientSecrets = new List<Secret>
                    {
                        new Secret("F621F470-9731-4A25-80EF-67A6F7C5F4B8".Sha256())
                    },
                    
                    AllowedScopes = new List<string>
                    {
                        "api1"
                    }
                },

                // human is involved
                new Client
                {
                    ClientName = "Silicon on behalf of Carbon Client",
                    ClientId = "carbon",
                    Enabled = true,
                    AccessTokenType = AccessTokenType.Reference,

                    Flow = Flows.ResourceOwner,
                    
                    ClientSecrets = new List<Secret>
                    {
                        new Secret("21B5F798-BE55-42BC-8AA8-0025B903DC3B".Sha256())
                    },

                    AllowedScopes = new List<string>
                    {
                        "api1"
                    }
                }
            };
        }
    }
}

复制代码

Scopes.cs注册范围标识

复制代码

using System.Collections.Generic;
using IdentityServer3.Core.Models;

namespace IdSrv
{
    static class Scopes
    {
        public static List<Scope> Get()
        {
            return new List<Scope>
            {
                new Scope
                {
                    Name = "api1"
                }
            };
        }
    }
}

复制代码

Users.cs注册用户

复制代码

using IdentityServer3.Core.Services.InMemory;
using System.Collections.Generic;

namespace IdSrv
{
    static class Users
    {
        public static List<InMemoryUser> Get()
        {
            return new List<InMemoryUser>
            {
                new InMemoryUser
                {
                    Username = "bob",
                    Password = "secret",
                    Subject = "1"
                },
                new InMemoryUser
                {
                    Username = "alice",
                    Password = "secret",
                    Subject = "2"
                }
            };
        }
    }
}

复制代码

配置Owin;这里把IdentityServer作为Owin的中间件配置一下

复制代码

using Owin;
using IdentityServer3.Core.Configuration;

namespace IdSrv
{
    class Startup
    {
        public void Configuration(IAppBuilder app)
        {
            var options = new IdentityServerOptions
            {
                Factory = new IdentityServerServiceFactory()
                            .UseInMemoryClients(Clients.Get())
                            .UseInMemoryScopes(Scopes.Get())
                            .UseInMemoryUsers(Users.Get()),

                RequireSsl = false
            };

            app.UseIdentityServer(options);
        }
    }
}

复制代码

 Program.cs

复制代码

using Microsoft.Owin.Hosting;
using System;

namespace IdSrv
{
    class Program
    {
        static void Main(string[] args)
        {


            // hosting identityserver
            using (WebApp.Start<Startup>("http://localhost:5000"))
            {
                Console.WriteLine("server running...");
                Console.ReadLine();
            }
        }
    }
}

复制代码

 

 2、新建控制台应用作为Client

复制代码

namespace Client
{
    class Program
    {
        static void Main(string[] args)
        {
            var response = GetClientToken();//获取令牌
            CallApi(response);//实用令牌访问资源

            response = GetUserToken();
            CallApi(response);
        }

        static void CallApi(TokenResponse response)
        {
            var client = new HttpClient();
            client.SetBearerToken(response.AccessToken);

            Console.WriteLine(client.GetStringAsync("http://localhost:14869/test").Result);
        }

        static TokenResponse GetClientToken()
        {
            var client = new TokenClient(
                "http://localhost:5000/connect/token",
                "silicon",
                "F621F470-9731-4A25-80EF-67A6F7C5F4B8");

            return client.RequestClientCredentialsAsync("api1").Result;
        }

        static TokenResponse GetUserToken()
        {
            var client = new TokenClient(
                "http://localhost:5000/connect/token",
                "carbon",
                "21B5F798-BE55-42BC-8AA8-0025B903DC3B");

            return client.RequestResourceOwnerPasswordAsync("bob", "secret", "api1").Result;
        }
    }
}

复制代码

 

3、新建Web API作为资源(RP)

 Owin配置

复制代码

using Microsoft.Owin;
using Owin;
using System.Web.Http;
using IdentityServer3.AccessTokenValidation;

[assembly: OwinStartup(typeof(Apis.Startup))]

namespace Apis
{
    public class Startup
    {
        public void Configuration(IAppBuilder app)
        {
            // accept access tokens from identityserver and require a scope of 'api1'
            app.UseIdentityServerBearerTokenAuthentication(new IdentityServerBearerTokenAuthenticationOptions
                {
                    Authority = "http://localhost:5000",
                    ValidationMode = ValidationMode.ValidationEndpoint,

                    RequiredScopes = new[] { "api1" }
                });

            // configure web api
            var config = new HttpConfiguration();
            config.MapHttpAttributeRoutes();
            
            // require authentication for all controllers
            config.Filters.Add(new AuthorizeAttribute());

            app.UseWebApi(config);
        }
    }
}

复制代码

Controller

复制代码

using System.Security.Claims;
using System.Web.Http;

namespace Apis
{
    [Route("test")]
    public class TestController : ApiController
    {
        public IHttpActionResult Get()
        {
            var caller = User as ClaimsPrincipal;

            var subjectClaim = caller.FindFirst("sub");
            if (subjectClaim != null)
            {
                return Json(new
                {
                    message = "OK user",
                    client = caller.FindFirst("client_id").Value,
                    subject = subjectClaim.Value
                });
            }
            else
            {
                return Json(new
                {
                    message = "OK computer",
                    client = caller.FindFirst("client_id").Value
                });
            }
        }
    }
}

复制代码

 

 

资源:

官网:https://identityserver.io/

IdentityServer3文档:https://identityserver.github.io/Documentation/docsv2/

示例与源码:https://identityserver.github.io/Documentation/

https://www.cnblogs.com/xmai/archive/2017/08/14/7359092.html

JPProject.IdentityServer4.SSO:ASP.NET Core 3.1开源SSO。 内置于IdentityServer4中
04-29
这是JP Project的完整版本。 它提供了SSOApi,可以在其中管理IdentityServer4ASP.NET Identity。 安装 Windows用户: 下载 解压缩并执行docker-run.bat (以管理员docker-run.bat ) Linux用户: 下载 将127.0.0.1 jpproject-sso条目添加到hosts文件( /etc/hosts ) 解压并执行docker-compose up 目录 已经有一个ASP.NET身份? 演示版 我们在线 想去生产吗? 技术领域 建筑学 关键材料 数据保护密钥(ASP.NET Core) 给个星星! :star: 发展场景 文件 贡献者 贡献 自由 3.2.0 3.0.1 v1.4.5 接下来是什么? 执照 推介会 JP项目的主要目标是成为IdentityServer4ASP.NET
一个功能完备的.NET开源OpenID Connect/OAuth 2.0框架——IdentityServer3
weixin_33860528的博客
04-22 246
今天推荐的是我一直以来都在关注的一个开源OpenID Connect/OAuth 2.0服务框架——IdentityServer3。其支持完整的OpenID Connect/OAuth 2.0标准,使用它就可以轻易地搭建一个单点登录服务器。 说是一直关注,是因为1年前,要为一个平台搭建一个OAuth 2.0服务器,当时由于IdentityServer3还处于开发阶段,核心还不稳定,扩展功能也不...
基于 IdentityServer3 实现 OAuth 2.0 授权服务【密码模式(Resource Owner Password Credentials)】...
weixin_33730836的博客
07-28 428
密码模式(Resource Owner Password Credentials Grant)中,用户向客户端提供自己的用户名密码。客户端使用这些信息,向"服务商提供商"索要授权。基于之前的 IdentityServer3 实现 OAuth 2.0 授权服务【客户端模式(Client Credentials Grant)】 修改。 客户端 public class Cl...
入门教程:.NET开源OpenID Connect OAuth解决方案IdentityServer v3 创建简单的OAuth2.0服务器,客户端API(三)...
weixin_30642267的博客
02-21 242
本教程的目的在于创造尽可能简单的identityserver安装作为一个oauth2授权服务器。这应该能够让你了解一些基本功能配置选项(完整的源代码可以发现在这里)。在后面的文档中会介绍更多的高级功能。本教程包括: 创建一个自托管identityserver 设置为使用一个应用程序的帐户以及用户对通信应用的客户服务代表 注册一个API 请求访问令牌 ...
.NET 项目集成 OAuth2 登录最全面的、最方便的框架
LongtengGensSupreme博客
05-10 452
MrHuo.OAuth.NET 项目集成 OAuth2 登录最全面的、最方便的框架 .NET Core 项目或 .NET Framework 4.6 项目均可使用 体验网址:做最好用的 OAuth 登录组件 - OAuthLogin.net 已支持平台 [x] 百度(可用) [x] 微信公众号(可用) [x] Gitlab(可用) [x] Gitee(可用) [x] Github(可用) [x] 华为(可用) [x] Coding.net(可用) [x] 新..
精选资源
SecureMicroservice:使用OAuthOpenID ConnectOcelot API网关使用IdentityServer4保护.NET 5微服务
03-09
3. IdentityServer4:IdentityServer4是.NET平台上的一个开源实现,用于构建符合OAuth 2.0OpenID Connect标准的认证服务器。它提供了身份验证、授权API访问控制等功能,可以用来保护微服务Web应用。 4. .NET ...
精选资源
使用OAuth2客户端凭据保护的ASP.NET Core WebAPI
04-11
IdentityServer4是一个开源的身份认证服务器,它支持OpenID ConnectOAuth2协议,可以轻松地集成到.NET Core应用中,为Web API提供身份验证授权服务。 在OAuth2的客户端凭据模式下,客户端(通常是服务或应用)...
ASP.NET Core的OpenID ConnectOAuth 2.0框架:IdentityServer4中文版
IdentityServer4 是一个强大的开放源代码框架,专为 ASP.NET Core 设计,用于实现 OpenID Connect OAuth 2.0 协议。这个框架的主要目的是提供一种安全的身份验证授权机制,使得开发者能够在自己的应用程序中...
OAuthIdentityServer4在.NET 5微服务中的应用
通过对以上知识点的详细阐述,我们可以发现,使用OAuthOpenID Connect、Ocelot API网关IdentityServer4保护.NET 5微服务,可以为微服务架构的安全性提供坚实的基础,并满足现代企业级应用对安全可维护性的高...
基于IdentityServer4实现.NET Core微服务的JWT客户端鉴权
IdentityServer4是一个基于.NET Core的开源框架,用于在.NET应用程序中实现OAuth2OpenID Connect协议。它作为授权服务器,可以提供单点登录、访问控制等功能。IdentityServer4提供了一系列的模板工具,用于快速...
IdentityServer
03-22
身份服务器
IdentityServer3.Admin, IdentityServer3的示例管理用户界面.zip
09-18
IdentityServer3.Admin, IdentityServer3的示例管理用户界面 IdentityAdmin当前状态:不支持的样本概述IdentityAdmin是开发人员/或者管理员管理它的应用程序的客户端作用域的工具。 这包括创建客户端/作用域。编辑客户端/作用域以及删除客户端/作用域。
OpenID中文文档
01-16
OpenID协议中文汉化 2.0版 。。。。。。
IdentityServer3 v1文档
weixin_30566149的博客
07-23 940
IdentityServer3 目录 目录 1 第一章IdentityServer31.x 5 v超链接 5 Ø概述 5 Ø配置 5 Ø端点 5 Ø先进的 5 Ø实体框架支持客户、范围操作数据 6 Øws-federation 6 Ø资源 6 第二章概述 6 v大局 6 v术语 7 vOpenID提供者连接(凤凰社) 8 v客户端...
Envoy实现.NET架构的网关(四)集成IdentityServer4实现OAuth2认证
dotNET跨平台
11-02 610
.NET网关与Gateway实战-Envoy与kong课程什么是OAuth2认证简单说,OAuth 就是一种授权机制。数据的所有者告诉系统,同意授权第三方应用进入系统,获取这些数据。系统从...
详解.NET实现OAuth2.0四种模式(1)
lweiyue的专栏
07-17 3737
一、OAuth2.0的角色 在OAuth2.0协议中,有4个角色,分别是: 用户:访问受限制资源的用户。 应用:第三方应用,可能是手机App、Web应用或者桌面程序。 授权服务器:负责用户授权、颁发令牌、管理应用等。 资源服务器:存放受限制资源。 授权服务器资源服务可以是同一个服务器。 举个例子,我们在“同城交友”这款应用中,需要微信登录并使用微信头像,那么,用户就是我们,应用是“同城交友”,授权服务器就是微信登录授权的服务器,而资源服务器存放了我们微信的头像。 二、一般流程 使用O
使用DotNetOpenAuth搭建OAuth2.0授权框架——Demo代码简单说明
11-17 561
前段时间随意抽离了一部分代码作为OAuth2的示例代码,若干处会造成困扰,现说明如下:      1 public class OAuthController : Controller   2 {   3 private static string _authorizeUrl = ConfigurationManager.AppSettings["AuthorizeUrl"
(转)OpenID概念、原理案例介绍
zerostar88的专栏
03-18 1121
发现一篇OpenID介绍比较好的文章,share一下: Source:http://www.userkon.com/kidult/openid_intro.html     什么是OpenIDOpenID概念、原理案例介绍 发表于 2009年12月12日 由 00 这几周有关OpenID的新闻不断:Google Profile变身OpenID、WordPres...
openid:身份认证_身份联合OpenId
dlz00001的博客
07-08 777
openid:身份认证 身份联合会目前是一个热门话题,至少对于我的客户而言。 它的开始是无辜的:不属于该组织的人需要访问应用程序。 没问题,让我们注册他。 一年后,需求成千上万的用户,身份管理的能力已经超出了它的能力:该软件的大小是针对组织的,而不是针对组织周围的众多第三方用户。 但是,合作伙伴,客户提供者,他们都有充分的理由来访问内部应用程序,但与其他用户一样,它们也必须被标识并具有权限...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值