一、前言
這篇文章可能大家會覺得很空洞,沒有實際的實戰東西,主要是自己整理出來的IdentityServer4 的一些概念性的東西;如果你對IdentityServer4有過一定的實戰經驗,可以跳過不需要閱讀該文章,后續我會以一個Demo 來給大家帶來IdentityServer4深入的實戰分享 。
二、概述
IdentityServer4是一個用於ASP.Net Core的OpenID Connect和OAuth 2.0框架
2.1 什么是OAuth 2.0?
OAuth 2.0是授權的行業標准協議。OAuth 2.0側重於客戶端開發人員的簡單性,同時為web應用程序、桌面應用程序、移動應用等提供特定的授權流。該規范及其擴展正在IETF OAuth工作組內開發。
簡單說,OAuth 就是一種授權機制。數據的所有者告訴系統,同意授權第三方應用進入系統,獲取這些數據。系統從而產生一個短期的進入令牌(token),用來代替密碼,供第三方應用使用。
OAuth 2.0 規定了四種獲得令牌的流程。你可以選擇最適合自己的那一種,向第三方應用頒發令牌。不管哪一種授權方式,第三方應用申請令牌之前,都必須先到系統備案,說明自己的身份,然后會拿到兩個身份識別碼:客戶端 ID(client ID)和客戶端密鑰(client secret)。這是為了防止令牌被濫用,沒有備案過的第三方應用,是不會拿到令牌的。下面就是這四種授權方式。
- authorization code(授權碼模式)
- implicit(簡化模式)
- resource owner password credentials(密碼模式)
- client credentials(客戶端模式)
OAuth 整體流程圖:
具體的OAuth 2.0 四大授權方式請參考 阮一峰 的博客 OAuth 2.0 的四種方式
2.2 什么是OpenId Connect
OpenID Connect的 的簡稱是OIDC,OIDC=(Identity, Authentication) + OAuth 2.0。它在OAuth2上構建了一個身份層,是一個基於OAuth2協議的身份認證標准協議。我們都知道OAuth2是一個授權協議,它無法提供完善的身份認證功能,OIDC使用OAuth2的授權服務器來為第三方客戶端提供用戶的身份認證,並把對應的身份認證信息傳遞給客戶端,且可以適用於各種類型的客戶端(比如服務端應用,移動APP,JS應用),且完全兼容OAuth2,也就是說你搭建了一個OIDC的服務后,也可以當作一個OAuth2的服務來用。應用場景如圖:
2.3 IdentityServer4功能特性
IdentityServer4 集成到你的應用具有如下功能特點:
- Authentication as a Service:可以為你的應用(如網站、本地應用、移動端、服務)做集中式的登錄邏輯和工作流控制。IdentityServer是完全實現了OpenID Connect協議標准
- Single Sign-on / Sign-out:在多個應用程序類型上進行單點登錄(和單點退出)。
- Access Control for APIs:為不同類型的客戶端,例如服務器到服務器、web應用程序、SPAs和本地/移動應用程序,發出api的訪問令牌。
- Federation Gateway:支持來自Azure Active Directory, Google, Facebook這些知名應用的身份認證,可以不必關心連接到這些應用的細節就可以保護你的應用。
- Focus on Customization:最重要的是identityserver可以根據需求自行開發來適應應用程序的變化。identityserver不是一個框架、也不是一個盒裝產品或一個saas系統,您可以編寫代碼來適應各種場景。
2.4 IdentityServer4 可以幫助我們做什么?
IdentityServer是將規范兼容的OpenID Connect和OAuth 2.0端點添加到任意ASP.NET Core應用程序的中間件。通常,您構建(或重新使用)包含登錄和注銷頁面的應用程序,IdentityServer中間件會向其添加必要的協議頭,以便客戶端應用程序可以與其對話 使用這些標准協議。
以上如果有錯誤的地方,請大家積極糾正,謝謝大家的支持!!