最近也研究了一段时间的IdentityServer4,园里关于IdentityServer的文章也很多,这里也简单写写,做做记录(文笔不佳,见谅)。
1.identityserver是什么?
Identityserver是一个OpenID Connect和OAuth 2.0框架。它实现了这两种协议流程,也提供了客户端以便于集成。(基本上OpenID Connect和OAuth 2.0部分代码是无法更改的,里面的endpoint相关代码都是内部类)
Identityserver也支持自定义协议,你可以自己添加一个自己的验证授权流程,不过需要写很多代码,官网提供了一个WsFederation协议的例子。
Identityserver支持以下几种模式,也可以自己自定义模式:
Implicit(隐式授权模式):隐式授权类型针对基于浏览器的应用程序进行了优化。仅用于用户身份验证(服务器端和JavaScript应用程序),或身份验证和访问令牌请求(JavaScript应用程序)。不支持刷新token,简单来说就是一系列授权和用户登录的流程。对应的模式是混合模式。
Authorization code(授权码模式):获取授权码,再通过授权码获取accesstoken和refreshtoken
Hybrid(混合模式):混合流是隐式和授权代码流的组合。支持刷新token。
Client credentials(客户端认证模式):通过客户端id和秘钥获取token
Resource owner password(用户名密码模式):使用用户名密码获取token
Refresh tokens(刷新token模式):使用刷新token获取新的accesstoken和刷新token
上各种模式的最终目的都是获取授权,例如Idtoken(包含用户信息,JWT格式),accesstoken,accesstoken包含了用户授权的信息,例如允许访问哪些api等。
2.Identityserver能做什么
单点登录:我一开始接触identityserver就是为了实现单点登录,一般使用Implicit(隐式授权模式)或者 Hybrid(混合模式)实现单点登录。
Implicit流程如下:
登录:
用户在客户端网站1通过客户端id和秘钥等信息访问identityserver,验证通过后跳转到登录页面,输入用户名密码正确会返回idtoken,客户端网站1通过解密获取用户信息并存储cookie(第一次登录)
客户端网站2通过客户端id和秘钥等信息访问identityserver,发现用户已认证(identityserver网站存储了cookie),客户端网站2通过解密获取用户信息并存储cookie(第二次登录)
登出:
用户通过客户端网站1访问Identityserver的结束会话端点,需要id_token_hint和post_logout_redirect_uri参数,Identityserver清除会话信息(cookie),并会回调所有登录客户端的FrontChannelLogout(前端注销)和BackChannelLogout(后端注销)地址,
接着跳转到网站1的post_logout_redirect_uri地址。
ps:通过identityserver实现的单点登录必须每个网站验证都需要跳转到identityserver,若要实现一次登录所有网站都登录的模式(jsonp实现单点登录),只能再通过一个子网站作为中转。
认证服务:适用于各种客户端集中登录逻辑和工作流程。单点登录就是其中一种实现。
API访问控制:一种是基于客户端的访问,一种是基于用户的访问,都是通过Identityserver获取accesstoken(accesstoken有api的授权),获取的时候需要包含允许访问的api参数,然后就可以通过accesstoken访问api了。
ps:api也是需要自己新建的,接入identityserver验证或者bear认证就可以了。
接入第三方授权访问:例如google,facebook,qq,微博等。