一日一技：在Ocelot網(wǎng)關(guān)中實(shí)現(xiàn)IdentityServer4密碼模式

作者： conan5566 2021-09-14 10:48:33

IdentityServer4 是為ASP.NET Core 2.系列量身打造的一款基于 OpenID Connect 和 OAuth 2.0 認(rèn)證框架。

[[423644]]

概述

IdentityServer4 是為ASP.NET Core 2.系列量身打造的一款基于 OpenID Connect 和 OAuth 2.0 認(rèn)證框架。將identityserver部署在你的應(yīng)用中，具備如下的特點(diǎn)可以為你的應(yīng)用(如網(wǎng)站、本地應(yīng)用、移動(dòng)端、服務(wù))做集中式的登錄邏輯和工作流控制。IdentityServer是完全實(shí)現(xiàn)了OpenID Connect協(xié)議標(biāo)準(zhǔn)。在各種類(lèi)型的應(yīng)用上實(shí)現(xiàn)單點(diǎn)登錄登出。為各種各樣的客戶端頒發(fā)access token令牌,如服務(wù)與服務(wù)之間的通訊、網(wǎng)站應(yīng)用、SPAS和本地應(yīng)用或者移動(dòng)應(yīng)用等。

OAuth 2.0 默認(rèn)四種授權(quán)模式(GrantType)：

授權(quán)碼模式(authorization_code)

簡(jiǎn)化模式(implicit)

密碼模式(password)

客戶端模式(client_credentials)

我們一般項(xiàng)目在api訪問(wèn)的時(shí)候，大部分是基于賬號(hào)密碼的方式進(jìn)行訪問(wèn)接口。比如app端的用戶。

下面我們來(lái)看下怎么實(shí)現(xiàn)密碼模式(password)。

主要實(shí)現(xiàn)方式

1、在認(rèn)證項(xiàng)目中，創(chuàng)建ProfileService

public class ProfileService : IProfileService 
    { 
        public async Task GetProfileDataAsync(ProfileDataRequestContext context) 
        { 
            var claims = context.Subject.Claims.ToList(); 
            context.IssuedClaims = claims.ToList(); 
        } 
        public async Task IsActiveAsync(IsActiveContext context) 
        { 
            context.IsActive = true; 
        } 
    }

2、創(chuàng)建ResourceOwnerPasswordValidator，進(jìn)行賬號(hào)密碼認(rèn)證

public class ResourceOwnerPasswordValidator : IResourceOwnerPasswordValidator 
    { 
        public async Task ValidateAsync(ResourceOwnerPasswordValidationContext context) 
        { 
            //根據(jù)context.UserName和context.Password與數(shù)據(jù)庫(kù)的數(shù)據(jù)做校驗(yàn)，判斷是否合法 
            if (context.UserName == "conan" && context.Password == "123") 
            { 
                context.Result = new GrantValidationResult( 
                subject: context.UserName, 
                authenticationMethod: "custom", 
                claims: new Claim[] { new Claim("Name", context.UserName), new Claim("UserId", "111"), new Claim("RealName", "conan"), new Claim("Email", "373197550@qq.com") }); 
            } 
            else 
            { 
                //驗(yàn)證失敗 
                context.Result = new GrantValidationResult(TokenRequestErrors.InvalidGrant, "invalid custom credential"); 
            } 
        } 
    }

3、調(diào)整AllowedGrantTypes 和AllowedScopes

client.AllowedGrantTypes = GrantTypes.ResourceOwnerPassword; 
                    List<string> aas = new List<string>(); 
                    aas.AddRange(config.AllowedScopes); 
                    aas.Add(IdentityServerConstants.StandardScopes.OpenId); 
                    aas.Add(IdentityServerConstants.StandardScopes.Profile); 
                    client.AllowedScopes = aas.ToArray();

4、ConfigureServices增加AddInMemoryIdentityResources、AddResourceOwnerValidator、AddProfileService

//注冊(cè)服務(wù) 
            var idResources = new List<IdentityResource> 
            { 
              new IdentityResources.OpenId(), //必須要添加，否則報(bào)無(wú)效的 scope 錯(cuò)誤 
              new IdentityResources.Profile() 
            }; 
 
 
            var section = Configuration.GetSection("SSOConfig"); 
            services.AddIdentityServer() 
         .AddDeveloperSigningCredential() 
           .AddInMemoryIdentityResources(idResources) 
         .AddInMemoryApiResources(SSOConfig.GetApiResources(section)) 
         .AddInMemoryClients(SSOConfig.GetClients(section)) 
              .AddResourceOwnerValidator<ResourceOwnerPasswordValidator>() 
            .AddProfileService<ProfileService>(); 
            services.AddControllers().SetCompatibilityVersion(CompatibilityVersion.Latest);