一 、前言
從上一篇關於 常見術語說明中,主要是對IdentityServer4的說明,以及其中涉及常見的術語的表述說明,包括對身份認證服務器、用戶、客戶端、資源以及各個令牌等進行對比區別說明。
而在這一篇中,我們將嘗試通過簡單的方式來搭一個我們的IdentityServer授權服務器,熟悉IdentityServer4中搭建的流程以及將出現的問題。
二、 搭建
以下的項目示例都是基於IdentityServer4 4.x版本以上進行說明。
4.x版本較之前3.x的版本都有一些變更,在本例中,若發現與3.x版本有變更的一些地方,都會進行記錄說明。
2.1.創建項目
建立一個空的Asp.Net Core項目 ,使用Empty空模板
2.2.安裝配置
2.2.1. 安裝程序包
-
可通過命令行的方式
NuGet>Install-Package IdentityServer4
-
通過包管理器方式
添加IdentityServer4包
2.2.2. 配置管道
修改Configure方法,注入到容器
app.UseIdentityServer();
2.2.3. 配置內容
將服務注入到容器后,還需要對IdentityServce進行配置內容
- 哪些API需要Authorization Server進行資源保護
- 哪些Client可以使用這個Authorization Server
- 哪些User可以被這個AuthorizationServer識別並授權
- 哪些資源可以指定作用域
這里方便演示,直接以靜態化的形式展示,實際開發應用中,可結合數據庫或reidis緩存的數據持久化方式獲取。
建立配置內容文件 IdentityConfig.cs(具體的 OpenID Connect 配置信息來源文件)
public class IdentityConfig
{
public static IEnumerable<IdentityResource> IdentityResources =>
new IdentityResource[]
{
new IdentityResources.OpenId(),
new IdentityResources.Profile(),
};
/// <summary>
/// Authorization Server保護了哪些 API Scope(作用域)
/// </summary>
/// <returns></returns>
public static IEnumerable<ApiScope> GetApiScopes()
{
return new[] { new ApiScope("ApiScope1", "ApiScope2") };
}
/// <summary>
/// 哪些客戶端 Client(應用) 可以使用這個 Authorization Server
/// </summary>
/// <returns></returns>
public static IEnumerable<Client> GetClients()
{
return new[]
{
new Client()
{
ClientId="YuanIdentity", ///客戶端的標識,要是惟一的
ClientSecrets=new []{new Secret("6KGqzUx6nfZZp0a4NH2xenWSJQWAT8la".Sha256())}, ////客戶端密碼,進行了加密
AllowedGrantTypes= GrantTypes.ClientCredentials, ////授權方式,這里采用的是客戶端認證模式,只要ClientId,以及ClientSecrets正確即可訪問對應的AllowedScopes里面的api資源
AllowedScopes=new[]{"ApiScope1" }, //定義這個客戶端可以訪問的APi資源數組,上面只有一個api
}
};
}
/// <summary>
/// 哪些User可以被這個AuthorizationServer識別並授權
/// </summary>
/// <returns></returns>
public static IEnumerable<TestUser> GetTestUsers()
{
return new[]
{
new TestUser
{
SubjectId="001",
Username="i3yuan",
Password="123456"
}
};
}
}
注意,如果你的代碼沒問題,但是依然報錯,比如“無效的scope”等,就可能是nuget包版本問題
在3.1.x 到 4.x 的變更中,
ApiResource的Scope正式獨立出來為ApiScope對象,區別ApiResource和Scope的關系,Scope是屬於ApiResource的一個屬性,可以包含多個Scope。所以
在3.x版本中
public static IEnumerable<ApiResource> GetApiResources() { return new[] { new ApiResource("ApiScope1", "ApiScope2") }; }改成4.x版本為
public static IEnumerable<ApiScope> GetApiScopes() { return new[] { new ApiScope("ApiScope1", "ApiScope2") }; }
2.2.4. 添加配置服務
在Startup.cs文件,ConfigureServices方法中
public void ConfigureServices(IServiceCollection services)
{
services.AddMvc();
services.AddIdentityServer()
.AddDeveloperSigningCredential() //開發環境
.AddTestUsers(IdentityConfig.GetTestUsers().ToList())
.AddInMemoryClients(IdentityConfig.GetClients())
.AddInMemoryApiScopes(IdentityConfig.GetApiScopes());
services.AddControllers();
}
1. 在學習 IdentityServer4 時熟悉的 InMemory 來說,
AddInMemoryApiResources變為了AddInMemoryApiScopes這個 ApiScope2. 我們現在是本地調試,可以告訴identity server4在程序的運行時候對這項工作進行設定: AddDeveloperSigningCredential(),它默認會存到硬盤上的, 所以每次重啟服務不會破壞開發時的數據同步。這個方法只適合用於identity server4在單個機器運行, 如果是 production 你得使用AddSigningCredential()這個方法
以上操作完成后, 啟動項目,通過它的 .well-known 端點來訪問服務器的配置信息,在瀏覽器的地址欄中,輸入地址:http://localhost:5050/.well-known/openid-configuration,並回車。應該可以看到如下的響應信息。
2.3. 獲取token
2.3.1. 啟動項目
2.3.2. 測試訪問地址
body參數 application/x-www-form-urlencoded (post)
2.3.3. Access_Token
需要對token進行簽名, 這意味着 identity server 需要一對public和private key。同時也是可以由上圖的解析發現是需要一對公私key的。
三、UI界面
考慮IdentityServer4需要進行管理查看,添加頁面管理界面
官方為我們提供了一個快速啟動的UI界面,我們只需要下載下來即可,這里有兩個方法:
3.1. QuickStart UI界面
1、直接從這個地址下來下載,拷貝到項目中,一共三個文件夾;// https://github.com/IdentityServer/IdentityServer4.Quickstart.UI
2、在當前文件夾中執行命令,自動下載;
iex ((New-Object System.Net.WebClient).DownloadString('https://raw.githubusercontent.com/IdentityServer/IdentityServer4.Quickstart.UI/master/getmaster.ps1'))
3.2. 默認目錄
下載完官方提供的默認UI界面后,會提供默認的三個目錄文件夾分別為:Quickstart (控制器方法)、Views(視圖)、wwwroot (靜態文件)
3.3. 修改配置
配置中間件來使用靜態文件:
app.UseStaticFiles();
四、運行
運行展示效果,啟動默認的地址如下:
運行項目后,可以發現啟動默認的歡迎界面,看到對應的項目版本,我們這里用的是最新的IdentityServer4版本為4.1.1 ,以及點擊 discovery document,可以看到了我們上邊說到的 token 獲取的接口地址 ,其中對應的端點地址信息。
通過它的 .well-known 端點來訪問服務器的配置信息,在瀏覽器的地址欄中,輸入地址:http://localhost:5050/.well-known/openid-configuration,並回車,可以看到對應的響應信息。
五、模板
在上文中,我們通過手動搭建的方式,從一個空模板的搭建,到引用對應的Nuget包,安裝修改配置,並搭配了官方提供的UI界面,初步形成了一個簡易的IdentityServer4初始化項目框架,這種一步步的構建項目的方式。
官方也給我們提供了對應的快捷創建項目的模板,所以,如果你不想創建MVC項目,可以用官方提供的模板方式進行創建初始化項目。
5.1. 安裝模板
dotnet new -i IdentityServer4.Templates
在命令的輸出中,可以看到已經安裝了多個關於 IdentityServer4 的模版
| 模板 | 簡稱 | 說明 |
|---|---|---|
| IdentityServer4 with AdminUI | is4admin | 這為用戶、身份、客戶端和資源提供了一個基於web的管理界面.該社區版本旨在測試IdentityServer集成場景,並且僅限於本地主機:5000、SQLite、10個用戶和2個客戶端。社區版不適合生產應用。 |
| IdentityServer4 with ASP.NET Core Identity | is4aspid | 添加使用ASP.NET標識進行用戶管理的基本IdentityServer。如果您自動啟動數據庫,您將得到兩個用戶:Alice和bob--都帶有密碼Pass123$。檢查SeedData.cs文件。 |
| IdentityServer4 Empty | is4empty | 在沒有UI的情況下創建一個最小的IdentityServer4項目。 |
| IdentityServer4 with Entity Framework Stores | is4ef | 添加使用實體框架進行配置和狀態管理的基本IdghtyServer。如果您啟動數據庫,您將獲得一些基本的客戶端和資源注冊,請檢查SeedData.cs文件。 |
| IdentityServer4 with In-Memory Stores and Test Users | is4inmem | 添加具有UI、測試用戶和示例客戶端和資源的基本IdentityServer。顯示內存中的代碼和JSON配置。 |
| IdentityServer4 Quickstart UI (UI assets only) | is4ui | 將快速啟動UI添加到當前項目(例如,可以在is4empty的基礎上添加) |
5.2. 選擇項目
這里面最為簡單的項目模版就是 IdentityServer4 with In-Memory Stores and Test Users 了,它簡稱為 is4inmem ,我們下面就使用它來創建項目。
dotnet new 模板名 -n 項目名稱
5.3. 啟動應用
啟動項目后,
可以看到項目的效果跟我們之前一步步搭建的效果是一樣的,這說明我們已經創建了第一個可運行的 IdentityServer4 服務器了。
六、說明
6.1. HS256與RS256
JWT簽名算法中,一般有兩個選擇,一個采用HS256,另外一個就是采用RS256。
簽名實際上是一個加密的過程,生成一段標識(也是JWT的一部分)作為接收方驗證信息是否被篡改的依據。
- HS256 使用密鑰生成固定的簽名,簡單地說,HS256 必須與任何想要驗證 JWT的 客戶端或 API 共享密鑰,因此必須注意確保密鑰不被泄露。
- RS256 生成非對稱簽名,這意味着必須使用私鑰來簽簽名 JWT,並且必須使用對應的公鑰來驗證簽名。與對稱算法不同,使用 RS256 可以保證服務端是 JWT 的簽名者,因為服務端是唯一擁有私鑰的一方。這樣做將不再需要在許多應用程序之間共享私鑰。
因此,在開發應用的時候啟用JWT時候,使用RS256更加安全,你可以控制誰能使用什么類型的密鑰。同時可以讓服務端是唯一擁有私鑰的一方,不需共享私鑰。
6.2 關於證書
生產環境(負載集群)一般需要使用固定的證書簽名與驗簽,以確保重啟服務端或負載的時候 Token 都能驗簽通過。(不使用臨時證書)
6.2.1 創建證書
#生成私鑰文件
openssl genrsa -out idsrv4.key 2048
#創建證書簽名請求文件 CSR(Certificate Signing Request),用於提交給證書頒發機構(即 Certification Authority (CA))即對證書簽名,申請一個數字證書。
openssl req -new -key idsrv4.key -out idsrv4.csr
#生成自簽名證書(證書頒發機構(CA)簽名后的證書,因為自己做測試那么證書的申請機構和頒發機構都是自己,crt 證書包含持有人的信息,持有人的公鑰,以及簽署者的簽名等信息。當用戶安裝了證書之后,便意味着信任了這份證書,同時擁有了其中的公鑰。)
openssl x509 -req -days 365 -in idsrv4.csr -signkey idsrv4.key -out idsrv4.crt
#自簽名證書與私匙合並成一個文件
openssl pkcs12 -export -in idsrv4.crt -inkey idsrv4.key -out idsrv4.pfx
或
openssl req -newkey rsa:2048 -nodes -keyout idsrv4.key -x509 -days 365 -out idsrv4.cer
openssl pkcs12 -export -in idsrv4.cer -inkey idsrv4.key -out idsrv4.pfx
中途提示讓你輸入Export Password,這個password后面會用到。
6.2.2 項目配置
拷貝生成的證書,放到認證/授權服務器項目中。(VS中配置文件設置文件始終復制),最后把證書路徑和密碼配置到 IdentityServer 中,因為我們自簽名的證書是 PKCS12 (個人數字證書標准,Public Key Cryptography Standards #12) 標准包含私鑰與公鑰)標准,包含了公鑰和私鑰。
A、在appsetting.json 配置文件中添加如下:此處需要配置password,即生成證書的時候輸入的密碼。
{
"Certificates": {
"CerPath": "certificate\\idsrv4.pfx",
"Password": "P@ssw0rd"
}
}
B、在starup.cs中ConfigureServices方法中配置如下即可。
var basePath = PlatformServices.Default.Application.ApplicationBasePath;
services.AddIdentityServer().AddSigningCredential(new X509Certificate2(
Path.Combine(basePath,Configuration["Certificates:CerPath"]),
Configuration["Certificates:Password"])
)
C、配置完后即可。我們啟動IDS4項目即可生成加密的token。
6.2.3 提取補充
OpenSSL 提取 pfx 證書公鑰與私鑰
提取pfx證書公鑰和私鑰
從pfx證書中提取密鑰信息,並轉換為key格式(pfx使用pkcs12模式補足)
1. 提取密鑰對(如果pfx證書已加密,會提示輸入密碼)
openssl pkcs12 -in idsrv4.pfx -nocerts -nodes -out idsrv4.key
2. 從密鑰對提取公鑰
openssl rsa -in idsrv4.key -pubout -out idsrv4_pub.key
3. 從密鑰對提取私鑰
openssl rsa -in idsrv4.key -out idsrv4_pri.key
4. 因為RSA算法使用的是 pkcs8 模式補足,需要對提取的私鑰進一步處理得到最終私鑰
openssl pkcs8 -topk8 -inform PEM -in idsrv4_pri.key -outform PEM -nocrypt
注意:
將得到的token在jwt.io 網站來認證一下,需要將 crt 公鑰、key私鑰復制到驗證中,發現認證ok,則說明實現防篡改。
后綴為crt公鑰需要帶着 -----BEGIN CERTIFICATE----- 和 -----END CERTIFICATE----- 一起復制。
后綴為key私鑰私鑰需要帶着 -----BEGIN RSA PRIVATE KEY----- 和 -----END RSA PRIVATE KEY----- 一起復制。
七、總結
- 在本篇中我們通過手動或者官方模板的方式簡易的實現了我們的IdentityServer授權服務器搭建,並做了相應的配置和UI配置,實現了獲取Token方式。
- 對於相應的配置我們需要注意的三個點就是,有哪些用戶(users)可以通過哪些客戶端(clents)來訪問我們的哪些API保護資源 (API)。
- 在后續會對其中的授權模式,數據庫持久化問題,以及如何應用在API資源服務器中和配置在客戶端中,會進一步說明。
- 如果有不對的或不理解的地方,希望大家可以多多指正,提出問題,一起討論,不斷學習,共同進步。
- 項目地址