IdentityServer4 中文文檔 -13- (快速入門)切換到混合流並添加 API 訪問
原文:http://docs.identityserver.io/en/release/quickstarts/5_hybrid_and_api_access.html
上一篇:IdentityServer4 中文文檔 -12- (快速入門)添加外部認證支持
下一篇:IdentityServer4 中文文檔 -14- (快速入門)使用 ASP.NET Core Identity
在之前的快速入門中我們探討了 API 訪問和用戶認證。現在我們想要把這兩部分結合起來。
OpenID Connect 和 OAuth 2.0 結合的美妙之處在於,你既可以使用單一的協議,也可以向令牌服務做一次往返交互。
之前我們使用的是 OpenID Connect 隱式流。在隱式流中所有令牌都通過瀏覽器來傳輸,這對於 身份令牌 來說是完全沒有問題的。現在我們還想要請求一個 訪問令牌。
與身份令牌相比,訪問令牌更加敏感,如果沒有必要,我們是不會想將他們暴露給“外部世界”的。OpenID Connect 包含了一個叫做 “混合流(Hybrid flowe)” 的流,它為我們提供了兩方面優點 —— 身份令牌通過瀏覽器頻道來傳輸,這樣客戶端就能夠在做任何工作前驗證它;如果驗證成功了,客戶端就會打開一個后端通道來連接令牌服務以檢索訪問令牌。
修改客戶端配置
需要修改的東西不是很多。首先我們想要允許客戶端使用混合流(Hybrid Flow),另外我們還想要客戶端允許服務於服務之間的 API 調用,並且這種調用不會與用戶上下文混雜在一起(這與我們的客戶端憑證快速入門非常相似)。這是使用 AllowedGrantTypes 屬性來表示的。
然后我們要添加一個客戶端密碼,這將被用於在后端通道上檢索訪問令牌。
最后我們還要允許客戶端訪問 offline_access scope - 這允許為長期使用的 API 訪問請求刷新令牌:
new Client
{
ClientId = "mvc",
ClientName = "MVC 客戶端",
AllowedGrantTypes = GrantTypes.HybridAndClientCredentials,
ClientSecrets =
{
new Secret("secret".Sha256())
},
RedirectUris = { "http://localhost:5002/signin-oidc" },
PostLogoutRedirectUris = { "http://localhost:5002/signout-callback-oidc" },
AllowedScopes =
{
IdentityServerConstants.StandardScopes.OpenId,
IdentityServerConstants.StandardScopes.Profile,
"api1"
},
AllowOfflineAccess = true
};
修改 MVC 客戶端
對 MVC 客戶端的修改同樣也很少 - ASP.NET Core OpenID Connect 中間件是內置支持混合流的,所以我們只需要更改一些配置值。
我們配置 ClientSecret 以讓它跟 IdentityServer 上的信息相匹配。添加 offline_access scopes,然后設置 ResponseType 為 code id_token(基本的意思就是“使用混合流”)
app.UseOpenIdConnectAuthentication(new OpenIdConnectOptions
{
AuthenticationScheme = "oidc",
SignInScheme = "Cookies",
Authority = "http://localhost:5000",
RequireHttpsMetadata = false,
ClientId = "mvc",
ClientSecret = "secret",
ResponseType = "code id_token",
Scope = { "api1", "offline_access" },
GetClaimsFromUserInfoEndpoint = true,
SaveTokens = true
});
當你運行 MVC 客戶端的時候,不會有太大的區別。除此之外,授權確認頁現在還會向你請求訪問 額外的 API 和 離線訪問(offline access) scope。
使用訪問令牌
OpenID Connect 中間件會自動為你保存令牌(身份令牌,訪問令牌和現在我們例子中的刷新令牌)。這就是 SaveTokens 設置的效果。
技術上,令牌是存儲在 cookie 的屬性片段之內的,訪問它們最簡單的方式是使用 Microsoft.AspNetCore.Authentication 名稱空間下的擴展方法。
比如在你的身份信息視圖上:
<dt>access token</dt>
<dd>@await ViewContext.HttpContext.Authentication.GetTokenAsync("access_token")</dd>
<dt>refresh token</dt>
<dd>@await ViewContext.HttpContext.Authentication.GetTokenAsync("refresh_token")</dd>
為了使用訪問令牌訪問 API,你所需要做的只是檢索令牌,然后將其設置到你的 HttpClient 中:
public async Task<IActionResult> CallApiUsingUserAccessToken()
{
var accessToken = await HttpContext.Authentication.GetTokenAsync("access_token");
var client = new HttpClient();
client.SetBearerToken(accessToken);
var content = await client.GetStringAsync("http://localhost:5001/identity");
ViewBag.Json = JArray.Parse(content).ToString();
return View("json");
}
上一篇:IdentityServer4 中文文檔 -12- (快速入門)添加外部認證支持
下一篇:IdentityServer4 中文文檔 -14- (快速入門)使用 ASP.NET Core Identity