简单理解 OAuth 2.0 及资料收集,IdentityServer4 部分源码解析
- 虽然经常用 OAuth 2.0,但是原理却不曾了解,印象里觉得很简单,请求跳来跳去,今天看完相关介绍,就来捋一捋 OAuth 2.0,记录一下加深印象
- OAuth 2.0 是行业标准的授权协议。OAuth 2.0 取代了 2006 年创建的原始 OAuth 协议所做的工作.OAuth 2.0 专注于客户端开发人员的简单性,同时为 Web 应用程序,桌面应用程序,移动电话和客厅设备提供特定的授权流程。该规范及其扩展正在 IETF OAuth 工作组内开发。
- 理解 OAuth 2.0
- OAuth 社区网站
- OAuth Server 的实现-IdentityServer4 源码分析
- OAuth 的机制原理讲解及开发流程
- IdentityServer4 中文文档与实战
- IdentityServer4.Docs.zh-Hans
- rfc6749
- OAuth2 授权,建议了解大概概念在看
解决的问题
- 在不将密码透露给第三方的基础上,授权给第三方访问服务器资源
认证流程
- 得到授权码 code
- 获取 access token
- 通过 access token,获取 OpenID
- 通过 access token 及 OpenID 调用 API,获取用户授权信息
- 第一步得到授权码 code,这个可以看做一个获取资源的请求,该请求需要登录(输入密码,或者 qq 登录等)。登陆过程就是用户自己在授权服务器登陆的,不用第三方拿密码自己登陆授权服务器。登录授权服务器之后,返回 code,完成第一步。到这里用户的登录动作就完成了
- 第二步第三方应用根据 code 请求 token,再到几步后面获取其它资源,刷新 token 等
- 中间根据授权类型,授权范围做相应处理,整个协议大概就可以这样子理解,实际的登录过程由用户在授权服务器登录,所以输入密码过程要认准域名,防止伪造的网站,泄露了密码
.net 实现
- IdentityServer是一个免费的开源 OpenID Connect 和 OAuth 2.0 框架,适用于 ASP .NET Core。IdentityServer4 由 Dominick Baier 和 Brock Allen 创建和维护,整合了在应用程序中集成基于令牌的身份验证,单点登录和 API 访问控制所需的所有协议实现和可扩展性点。IdentityServer4 由 OpenID Foundation 正式认证,因此符合规范且可互操作
- 这是 ASP .NET Core 中用的较多的框架,可参考 demo 快速体验
- []https://github.com/raochunjiang/IdentityServer4.Docs.zh-Hans
自定义 IdentityServer
- 仿照 IdentityServer4 源码造一个 IdentityServer
结构及流程
- 主要看中间件
IdentityServerMiddleware,所有的端点走的都是这么个流程,所以关键点在于endpoint,不用的 url 请求对应不同的endpoint
var endpoint = router.Find(context);
if (endpoint != null)
{
_logger.LogInformation("Invoking IdentityServer endpoint: {endpointType} for {url}", endpoint.GetType().FullName, context.Request.Path.ToString());
var result = await endpoint.ProcessAsync(context);
if (result != null)
{
_logger.LogTrace("Invoking result: {type}", result.GetType().FullName);
await result.ExecuteAsync(context);
}
return;
}
首先是根据 context 查找匹配的端点,然后调用端点的ProcessAsync方法,得到结果result,然后执行方法ExecuteAsync得到结果
- 所有的授权相关请求,都对应一个 endpoint,每个 endpoint,基本都有一个 Validator,用于验证。比如验证客户端参数是否合法,请求信息时验证是否登陆等等。_validator 是 IAuthorizeRequestValidator 接口的实例,用于验证,可通过 DI 注入自己的验证
// ProcessAsync方法
public override async Task<IEndpointResult> ProcessAsync(HttpContext context)
{
// 省略部分代码
var user = await UserSession.GetUserAsync();
var result = await ProcessAuthorizeRequestAsync(values, user, null);
// 省略部分代码
return result;
}
// ProcessAuthorizeRequestAsync方法
internal async Task<IEndpointResult> ProcessAuthorizeRequestAsync(NameValueCollection parameters, ClaimsPrincipal user, ConsentResponse consent)
{
// 省略部分代码
// validate request
var result = await _validator.ValidateAsync(parameters, user);
// 省略部分代码
return new AuthorizeResult(response);
}
如果我们要自定义某个授权过程中的请求,可以继承 IEndpointHandler 实现自己的 endpoint,并自定义路径
// 首先实现IEndpointHandler接口
public class CustomAuthorizeEndpoint : IEndpointHandler
{
public Task<IEndpointResult> ProcessAsync(HttpContext context)
{
throw new NotImplementedException();
}
}
// 然后在Startup.cs的ConfigureServices方法注入
services.AddTransient<CustomAuthorizeEndpoint>();
services.AddSingleton(new Endpoint("Authorize", "/customUrl/authorize", typeof(CustomAuthorizeEndpoint)));
- 其他方面同理,实现相关接口,注入,即可实现自定义,以下列出一些接口及功能说明:
- IClientStore,客户端存储,可自定义实现从数据库存取客户端数据
- IEndpointHandler,Endpoint 端点,根据 url 匹配 Endpoint,处理并响应请求
- IAuthorizeRequestValidator,授权请求验证,可校验客户端参数、类型是否跟已注册客户端一致
总结
- 入门过程不能太急躁,首先过一下相关概念,然后跑一下具体的例子,仔细感受例子,尽量跟相关概念对上号,慢慢对上所有概念,这时候就会对相关概念进一步加深理解。
- 接下来就可以自己 Diy 一下功能,根据自己的需求做小小的改动。这个步骤相当于学会了之后用在项目里,虽然还没达到了如指掌的程度,但是出了问题能快速定位问题,不会一头雾水,这是之前体验例子对概念的好处。如果还没用上项目,可以吧 Diy 的方式方法记录下来备用,如果直接用上了,也可以记录下来,举一反三
- 假如这是个比较重要,常用的功能,但是又比较复杂,难理解,那么走完上述两步之后,建议自己实现个精简版。这样有利于整体把握概念,扫清所有盲点,只有自己能实现了,才算是真正掌握,以后多次用到,出了问题也能轻松定位解决,这个收益绝对很赚
- 以上就是一点学习总结,不能掉进心浮气躁的陷阱,这将一无所获且浪费时间!