zoukankan      html  css  js  c++  java
  • IdentityServer4 系列文章01密码授权模式

    IdentityServer4实现.Net Core API接口权限认证(快速入门)

     

    什么是IdentityServer4

    官方解释:IdentityServer4是基于ASP.NET Core实现的认证和授权框架,是对OpenID Connect和OAuth 2.0协议的实现。

    通俗来讲,就是服务端对需要认证授权的资源(客户端请求资源)在外层使用IdentityServer4框架进行封装加壳,用户只能通过获取IdentityServer4颁发的Token令牌才能进行资源访问。

    下面开始进入正题,如何快速搭建实现API接口鉴权。

    准备:1.下载准备NetCore sdk环境

               2.本文开发环境为VS2019,部分代码可能和之前的版本不同。

    第一步,新建权限认证服务项目,本文以Net Core API项目模板为例(也可以选择其他模板)

    第二步,添加IdentityServer4 Nuget程序包。不同版本依赖的NetCoe sdk环境不同,需手动选择合适版本。

     

    这里提醒一下,有些同学的系统可能添加Nuget程序包时,发现无法找到程序包。我们这里找出了解决方法,点击Nuget程序包添加页面的右上角设置按钮,看到如下页面,手动添加如下的nuget.org,然后重新搜索即可。

     

     第三步,添加IdentityServer4配置管理类。本文以用户密码授权模式为例。

    复制代码
     1 public class Config
     2     {
     3         /// <summary>
     4         /// 定义资源范围
     5         /// </summary>
     6         public static IEnumerable<ApiResource> GetApiResources()
     7         {
     8             return new  List<ApiResource>
     9             {
    10                 new ApiResource("api1", "我的第一个API")
    11             };
    12         }
    13 
    14         /// <summary>
    15         /// 定义访问的资源客户端
    16         /// </summary>
    17         /// <returns></returns>
    18         public static IEnumerable<Client> GetClients()
    19         {
    20             return new List<Client>
    21             {
    22                new Client{
    23                    ClientId="client",//定义客户端ID
    24                    ClientSecrets=
    25                    {
    26                        new Secret("secret".Sha256())//定义客户端秘钥
    27                    },
    28                    AllowedGrantTypes=GrantTypes.ResourceOwnerPassword,//授权方式为用户密码模式授权,类型可参考GrantTypes枚举
    29                    AllowedScopes={ "api1"}//允许客户端访问的范围
    30 
    31                }
    32              };
    33         }
    34 
    35         /// <summary>
    36         /// 这个方法是来规范tooken生成的规则和方法的。一般不进行设置,直接采用默认的即可。
    37         /// </summary>
    38         /// <returns></returns>
    39         public static IEnumerable<IdentityResource> GetIdentityResources()
    40         {
    41             return new IdentityResource[]
    42             {
    43                 new IdentityResources.OpenId()
    44             };
    45         }
    46     }
    复制代码

    第四步,Startup启动类中注册服务中间件

    复制代码
    复制代码
     1 // This method gets called by the runtime. Use this method to add services to the container.
     2         public void ConfigureServices(IServiceCollection services)
     3         {
     4             services.AddIdentityServer()//注册服务
     5                 .AddDeveloperSigningCredential()
     6                 .AddInMemoryApiResources(Config.GetApiResources())//配置类定义的授权范围
     7                 .AddInMemoryClients(Config.GetClients())//配置类定义的授权客户端
     8                 .AddTestUsers(new List<TestUser> { new TestUser { Username = "Admin", Password = "123456", SubjectId = "001", IsActive = true } });//模拟测试用户,这里偷懒了,用户可以单独管理,最好不要直接在这里New
     9             services.AddControllers();
    10         }
    11 
    12         // This method gets called by the runtime. Use this method to configure the HTTP request pipeline.
    13         public void Configure(IApplicationBuilder app, IWebHostEnvironment env)
    14         {
    15             if (env.IsDevelopment())
    16             {
    17                 app.UseDeveloperExceptionPage();
    18             }
    19 
    20             app.UseIdentityServer();//添加中间件
    21             
    22             app.UseHttpsRedirection();
    23 
    24             app.UseRouting();
    25 
    26             app.UseAuthorization();
    27 
    28             app.UseEndpoints(endpoints =>
    29             {
    30                 endpoints.MapControllers();
    31             });
    32         }
    复制代码
    复制代码

    应用程序默认的端口号有两种:1.http://localhost:5000   2.https://localhost:5001.

    到这里,Identityserver4鉴权服务已经简单搭建完成。我们直接在VS中启动项目。并在端口号后面加上/.well-known/openid-configuration,出现如下页面则表示配置成功。

    第五步,PostMan模拟请求获取token(当然这一步非必须,对postman感兴趣的同学可以试一试)

    我们都知道IdentityServer4需要客户端先访问鉴权服务获取token令牌,才能进一步访问加权的服务器资源。我们这里先通过PostMan模拟客户端请求,获取Token。(postman工具大家可以网上下载,也可以使用谷歌自带的postman插件)

    1.使用postman请求token时,有个地方需要注意下:

    很多同学在使用https请求时,即请求https://localhost:5001,会发现无法成功。因为postman默认把SSL证书认证打开了,我们可以手动关闭掉。找到postman页面右上方的小扳手图标,进入设置页面找到ssl关掉即可。当然同学们直接使用http://localhost:5000请求就无需设置SSL.

    2.请求参数

    这里的参数value就是我们在鉴权服务配置类设置的client和TestUser信息。

    Grant_Type为授权类型,本文我们使用的是用户密码模式,所以这里填password.

    这里我们看到,我们已成功模拟请求获取了Token。大功告成,鉴权服务已验证可用,我们赶紧去发布部署吧。

    第六步,鉴权服务发布部署。

    .Net Core发布模式有三种:

    1.框架依赖+可移植

    2.框架依赖+运行时环境(带可执行程序exe)

    3.独立部署

    简单来说,框架依赖模式发布的程序包,都需要部署环境自带.net core等运行环境;而独立部署则不需要考虑,发布包已经包含了运行环境,直接部署即可。

    下面本文以框架依赖+可移植发布,做简单介绍。

     

     发布完成后,我们会在发布路径中看到程序dll.我们找到发布路径,通过CMD命令窗口:dotnet xxx.dll可直接启动。

     如上,则表示启动成功。(如果其他发布模式,直接双击发布包中可执行exe文件即可启动)

    鉴权服务部署完成后,我们API接口如何使用呢,下面开始正式介绍。

    第一步:新建Web Api项目

    添加Nuget程序包

    第二步:配置启动类

    复制代码
     1         public void ConfigureServices(IServiceCollection services)
     2         {
     3             //注册服务
     4             services.AddAuthentication("Bearer")
     5                 .AddIdentityServerAuthentication(x =>
     6                 {
     7                     x.Authority = "http://localhost:5000";//鉴权服务地址
     8                     x.RequireHttpsMetadata = false;
     9                     x.ApiName = "api1";//鉴权范围
    10                 });
    11             services.AddControllers();
    12         }
    13 
    14         public void Configure(IApplicationBuilder app, IWebHostEnvironment env)
    15         {
    16             if (env.IsDevelopment())
    17             {
    18                 app.UseDeveloperExceptionPage();
    19             }
    20             app.UseAuthentication();//添加鉴权认证
    21             app.UseHttpsRedirection();
    22             app.UseRouting();
    app.UseAuthorization(); 23 app.UseEndpoints(endpoints => 24 { 25 endpoints.MapControllers(); 26 }); 27 }
    复制代码

    应用程序默认的端口号有两种:1.http://localhost:5000   2.https://localhost:5001.为了避免端口号冲突被占用,我们可以在Program类中修改应用程序启动端口号

    复制代码
    1  public static IHostBuilder CreateHostBuilder(string[] args) =>
    2             Host.CreateDefaultBuilder(args)
    3             
    4                 .ConfigureWebHostDefaults(webBuilder =>
    5                 {
    6                     webBuilder.UseUrls("http://*:5555");//设置启动端口号
    7                     webBuilder.UseStartup<Startup>();
    8                 });
    复制代码

    第三步:创建API  DEMO

    复制代码
     1  [Route("api/[controller]")]
     2     [ApiController]
     3     public class TestController : ControllerBase
     4     {
     5         // GET: api/Test
     6         /// <summary>
     7         /// 方法加权
     8         /// </summary>
     9         /// <returns></returns>
    10         [Authorize]
    11         [HttpGet]
    12         public IEnumerable<string> Get()
    13         {
    14             return new string[] { "value1", "value2" };
    15         }
    16 
    17         /// <summary>
    18         /// 方法未加权  可直接访问
    19         /// </summary>
    20         /// <param name="id"></param>
    21         /// <returns></returns>
    22         // GET: api/Test/5
    23         [HttpGet("{id}", Name = "Get")]
    24         public string Get(int id)
    25         {
    26             return "value";
    27         }
    28 
    29         /// <summary>
    30         /// 开放获取token  API 接口
    31         /// </summary>
    32         /// <returns></returns>
    33         [HttpGet("GetToken")]
    34         public async Task<string> GetToken()
    35         {
    36             var client = new HttpClient();
    37             var tokenResponse = await client.RequestPasswordTokenAsync(new PasswordTokenRequest
    38             {
    39                 Address = "http://localhost:5000/connect/token",
    40                 ClientId = "client",
    41                 ClientSecret = "secret",
    42                 Scope = "api1",
    43                 UserName = "Admin",
    44                 Password = "123456",
    45             });
    46 
    47             if (tokenResponse.IsError)
    48             {
    49                 return tokenResponse.Error;
    50             }
    51 
    52             return tokenResponse.AccessToken;
    53 
    54         }
    55     }
    复制代码

    1.接口方法上加上:

    [Authorize]

    相当于对接口加权,只有被授权的用户才能访问(即获取token的用户)。此时上文中接口api/Test由于被加权,请求时会报错;但是api/Test/1接口未加权,仍可正常请求。

    那么我们如何才能访问被加权的接口呢???Go Next

    2.我们这里开放了获取Token的接口GetToken(类似于上文中通过PostMan获取Token)

    访问被加权的API接口,我们这里需要先请求获取Token,然后请求加权接口时带上token参数。

     3.请求加权接口

     请求加权接口时带上Token,接口请求成功!

    OK,关于如何快速开发和调试基于IdentityServer4框架的API接口鉴权服务,至此我们已介绍完毕。

    小弟不才,本文中有考虑不周全或错误的地方,欢迎大家指正。

    (如果有的同学想通过IIS部署API应用程序,这里有个地方需要注意下,需要在IIS(功能视图——模块)中添加AspNetCoreModule模块。具体原因本文就不在这里介绍了。)

  • 相关阅读:
    javascript验证QQ号、邮箱和手机号码
    js 引擎 和 html 渲染引擎
    ASP.NET MVC 4 简介
    SqlDateTime overflow / SqlDateTime 溢出
    ASP.NET MVC ViewBag/ViewData/TempData区别
    C#内存分配
    Repeater数据绑定和操作
    Uploadify导致Chrome频繁崩溃Crash
    巧用Ajax的beforeSend 提高用户体验
    ASP.NET MVC
  • 原文地址:https://www.cnblogs.com/zhengwei-cq/p/15521333.html
Copyright © 2011-2022 走看看