• 使用Identity Server 4建立Authorization Server (1)(转载)


     

    预备知识: http://www.cnblogs.com/cgzl/p/7746496.html

    本文内容基本完全来自于Identity Server 4官方文档: https://identityserver4.readthedocs.io/

    官方文档很详细的.

    使用OAuth可以更安全, 这里我们的authorization server和web api 以及网站将分别独立运行. 

    建立authorization server

    建立asp.net core 项目使用空模板.

    项目建立后, 运行方式改为使用控制台运行而不是IISExpress, 以便查看各种debug信息.

    打开launchSettings.json:

    复制代码
    {
      "profiles": {
        "AuthServer": {
          "commandName": "Project",
          "launchBrowser": true,
          "environmentVariables": {
            "ASPNETCORE_ENVIRONMENT": "Development"
          },
          "applicationUrl": "http://localhost:5000/"
        }
      }
    }
    复制代码

    把IISExpress相关的内容删掉, 然后端口改为5000.

    Program.cs里的BuildWebHost也应该加上Url:

            public static IWebHost BuildWebHost(string[] args) =>
                WebHost.CreateDefaultBuilder(args)
                    .UseUrls("http://0.0.0.0:5000")
                    .UseStartup<Startup>()
                    .Build();

    其实不加也好用.

    运行就会弹出控制台:

    安装Identity Server4:

    打开nuget, 搜索 identityserver4:

    安装即可.

    配置asp.net core 管道

    打开startup.cs, 编辑Configure方法:

            public void Configure(IApplicationBuilder app, IHostingEnvironment env)
            {
                app.UseDeveloperExceptionPage();
                app.UseIdentityServer();
            }

    就是使用上面这个中间件. 

    配置Identity Server

    还是Startup.cs,编辑ConfigureServices方法:

    这里不仅要把IdentityServer注册到容器中, 还要至少对其配置三点内容:

    1. 哪些API可以使用这个authorization server.

    2. 那些客户端Client(应用)可以使用这个authorization server.

    3. 指定可以使用authorization server授权的用户.

    首先需要把上面这些做成一个配置文件:

    建立Configuration/InMemoryConfiguration.cs:

    复制代码
    namespace AuthServer.Configuration
    {
        public class InMemoryConfiguration
        {
            public static IEnumerable<ApiResource> ApiResources()
            {
                return new[]
                {
                    new ApiResource("socialnetwork", "社交网络")
                };
            }
    
            public static IEnumerable<Client> Clients()
            {
                return new[]
                {
                    new Client
                    {
                        ClientId = "socialnetwork",
                        ClientSecrets = new [] { new Secret("secret".Sha256()) },
                        AllowedGrantTypes = GrantTypes.ResourceOwnerPasswordAndClientCredentials,
                        AllowedScopes = new [] { "socialnetwork" }
                    }
                };
            }
    
            public static IEnumerable<TestUser> Users()
            {
                return new[]
                {
                    new TestUser
                    {
                        SubjectId = "1",
                        Username = "mail@qq.com",
                        Password = "password"
                    }
                };
            }
        }
    }
    复制代码

    ApiResources: 这里指定了name和display name, 以后api使用authorization server的时候, 这个name一定要一致, 否则就不好用的.

    Clients: Client的属性太多了, 这里就指定几个. 其中ClientSecrets是Client用来获取token用的. AllowedGrantType: 这里使用的是通过用户名密码和ClientCredentials来换取token的方式. ClientCredentials允许Client只使用ClientSecrets来获取token. 这比较适合那种没有用户参与的api动作. AllowedScopes: 这里只用socialnetwork

    Users: 这里的内存用户的类型是TestUser, 只适合学习和测试使用, 实际生产环境中还是需要使用数据库来存储用户信息的, 例如接下来会使用asp.net core identity. TestUser的SubjectId是唯一标识.

    然后回到StartUp的ConfigureServices:

    前一篇文章讲过, 我们需要对token进行签名, 这意味着identity server需要一对public和private key. 幸运的是, 我们可以告诉identity server在程序的运行时候对这项工作进行设定: AddDeveloperSigningCredential(), 它默认会存到硬盘上的, 所以每次重启服务不会破坏开发时的数据同步. 这个方法只适合用于identity server4在单个机器运行, 如果是production farm你得使用AddSigningCredential()这个方法.

    复制代码
            public void ConfigureServices(IServiceCollection services)
            {
                services.AddIdentityServer()
                    .AddDeveloperSigningCredential()
                    .AddTestUsers(InMemoryConfiguration.Users().ToList())
                    .AddInMemoryClients(InMemoryConfiguration.Clients())
                    .AddInMemoryApiResources(InMemoryConfiguration.ApiResources());
            }
    复制代码

    然后运行一下:

    没报错, 红线部分是内存配置版的一些解释.

    获取Token

    打开postman.

    首先我们发送一个错误的client_id, 然后得到的结果是: invalid_client. 控制台的信息如下:

    然后我们再发送一个正确的数据:

    这次获取到了token. 控制台信息如下:

    由于identity server我们设置的是 ResourceOwnerPasswordAndClientCredentials 这个GrantType, 所以使用用户名密码以及使用ClientCredentials都可以. 那我们把用户名和密码去掉, 只发送Client Credentials:

    仍然获取到了token. 控制台上的信息与上一个稍有不同, 没有user相关的信息了:

    使用正经的证书:

    证书可以通过几种渠道获得, 可以购买, 可以使用IIS生成, 也可以使用Openssl这样的工具生成证书. 我就使用openssl吧.

    去openssl的windows官网: https://slproweb.com/products/Win32OpenSSL.html

    下载 1.1.0版: https://slproweb.com/download/Win64OpenSSL-1_1_0f.exe

    安装后, 打开命令行.

    openssl req -newkey rsa:2048 -nodes -keyout socialnetwork.key -x509 -days 365 -out socialnetwork.cer

    具体的信息就不管了. 这个证书的有效期是365天, 命令参数里面设定的.

    这是生成的文件:

    一个证书和一个key, 然后我们需要给他们俩封装成一个文件, 以便identity server可以使用它们去正确的签名tokens. 这就需要使用另一个命令:

    openssl pkcs12 -export -in socialnetwork.cer -inkey socialnetwork.key -out socialnetwork.pfx

    这里发生了错误...那就使用管理员打开命令行:

    输入密码和确认密码后, 没问题了.

    pfx就是我们需要的文件.

    然后修改一个Startup的ConfigureServices:

    复制代码
            public void ConfigureServices(IServiceCollection services)
            {
                services.AddIdentityServer()
                    // .AddDeveloperSigningCredential()
                    .AddSigningCredential(new X509Certificate2(@"D:Projects	estsocialnetwork.pfx", "password"))
                    .AddTestUsers(InMemoryConfiguration.Users().ToList())
                    .AddInMemoryClients(InMemoryConfiguration.Clients())
                    .AddInMemoryApiResources(InMemoryConfiguration.ApiResources());
            }
    复制代码

    现在运行程序的话, 啥也不显示. 那么接下来, 就

    添加像样的UI

    Identity Server 4 提供了一套QuickStart UI : https://github.com/IdentityServer/IdentityServer4.Quickstart.UI/tree/release

    在项目根目录打开Powershell(可以在项目根目录, 按住shift, 点击右键的Powershell)

    然后输入命令:

    iex ((New-Object System.Net.WebClient).DownloadString('https://raw.githubusercontent.com/IdentityServer/IdentityServer4.Quickstart.UI/release/get.ps1'))

    然后就把UI下载到项目了.

    看看生成的文件, 很多:

    由于有wwwroot下很多静态文件, 所以asp.net core 需要启用服务静态文件的功能: 修改Startup的Configure方法:

    复制代码
            public void Configure(IApplicationBuilder app, IHostingEnvironment env)
            {
                app.UseDeveloperExceptionPage();
                app.UseIdentityServer();
                app.UseStaticFiles();
                app.UseMvcWithDefaultRoute();
            }
    复制代码

    使用静态文件, 并且使用了MVC.

    别忘了在ConfigureServices里面注册MVC:

    复制代码
    public void ConfigureServices(IServiceCollection services)
            {
                services.AddIdentityServer()
                    // .AddDeveloperSigningCredential()
                    .AddSigningCredential(new X509Certificate2(@"D:Projects	estsocialnetwork.pfx", "Bx@steel"))
                    .AddTestUsers(InMemoryConfiguration.Users().ToList())
                    .AddInMemoryClients(InMemoryConfiguration.Clients())
                    .AddInMemoryApiResources(InMemoryConfiguration.ApiResources());
    
                services.AddMvc();
            }
    复制代码

    然后运行一下试试:

    它现在已经具备了这些功能!

    使用TestUser也可以登陆成功:

    当然这个UI可以根据情况自行定义.

     原文地址:https://www.cnblogs.com/cgzl/p/7780559.html

    好好学习,天天向上。
  • 相关阅读:
    在Apache下开启SSI配置支持include shtml html和快速配置服务器
    GitHub命令精简教程
    php读取excel,以及php打包文件夹为zip文件
    Firebug中命令行栏(Commandlinie)的使用介绍和总结
    javascript判断设备类型-手机(mobile)、安卓(android)、电脑(pc)、其他(ipad/iPod/Windows)等
    jquery返回顶部-ie6配合css表达式。
    jquery.cycle.js简单用法实例
    原生javascript操作class-元素查找-元素是否存在-添加class-移除class
    常用css表达式-最小宽度-上下居中
    div模块变灰
  • 原文地址:https://www.cnblogs.com/Zhengxue/p/13293637.html
Copyright © 2020-2023  润新知