Identity Server4用戶認證與授權

1. 引言

現在的應用開發層出不窮，基於瀏覽器的網頁應用，基於微信的公眾號、小程序，基於IOS、Android的App，基於Windows系統的桌面應用和UWP應用等等，這么多種類的應用，就給應用的開發帶來的挑戰，我們除了分別實現各個應用外，我們還要考慮各個應用之間的交互，通用模塊的提煉，其中身份的認證和授權就是每個應用必不可少的的一部分。而現在的互聯網，對於信息安全要求又十分苛刻，所以一套統一的身份認證和授權就至關重要。

 

IdentityServer 4

IdentityServer4就是這樣一個框架，IdentityServer4是為ASP.NET CORE量身定制的實現了OpenId Connect和OAuth2.0協議的認證授權中間件。

下面我們就來介紹一下相關概念，並梳理下如何集成IdentityServer4。
也可瀏覽自行整理的IdentityServer4 百度腦圖快速了解。

2.OAuth2.0 && OpenId Connect

 

 

2.1. OpenId

OpenID 是一個以用戶為中心的數字身份識別框架，它具有開放、分散性。OpenID 的創建基於這樣一個概念：我們可以通過 URI （又叫 URL 或網站地址）來認證一個網站的唯一身份，同理，我們也可以通過這種方式來作為用戶的身份認證。

簡而言之：OpenId用於身份認證（Authentication）。

2.2. OAuth 2.0

OAuth（開放授權）是一個開放標准，目前的版本是2.0。允許用戶授權第三方移動應用訪問他們存儲在其他服務商上存儲的私密的資源（如照片，視頻，聯系人列表），而無需將用戶名和密碼提供給第三方應用。
OAuth允許用戶提供一個令牌而不是用戶名和密碼來訪問他們存放在特定服務商上的數據。每一個令牌授權一個特定的網站內訪問特定的資源（例如僅僅是某一相冊中的視頻）。這樣，OAuth可以允許用戶授權第三方網站訪問他們存儲在另外服務提供者的某些特定信息，而非所有內容。
OAuth是OpenID的一個補充，但是完全不同的服務。

簡而言之：OAuth2.0 用於授權（Authorization）。
關於OAuth2.0也可參考我的另一篇博文OAuth2.0 知多少。

2.3. OpenId Connect

OpenID Connect 1.0 是基於OAuth 2.0協議之上的簡單身份層，它允許客戶端根據授權服務器的認證結果最終確認終端用戶的身份，以及獲取基本的用戶信息；它支持包括Web、移動、JavaScript在內的所有客戶端類型去請求和接收終端用戶信息和身份認證會話信息；它是可擴展的協議，允許你使用某些可選功能，如身份數據加密、OpenID提供商發現、會話管理等。

簡而言之：OpenId Connect = OIDC = Authentication + Authorization + OAuth2.0。

比如，Facebook、Google、QQ、微博都是比較知名的OpenId Connect提供商。

3. 術語解釋

 

 

了解完OpenId Connect和OAuth2.0的基本概念，我們再來梳理下涉及到的相關術語：

1. User：用戶
2. Client：客戶端
3. Resources：Identity Data（身份數據）、Apis
4. Identity Server：認證授權服務器
5. Token：Access Token（訪問令牌）和 Identity Token（身份令牌）

 

 

4. JwtBearer 認證

4.1. HTTP身份驗證流程

HTTP提供了一套標准的身份驗證框架：服務器可以用來針對客戶端的請求發送質詢(challenge)，客戶端根據質詢提供身份驗證憑證。質詢與應答的工作流程如下：服務器端向客戶端返回401（Unauthorized，未授權）狀態碼，並在WWW-Authenticate頭中添加如何進行驗證的信息，其中至少包含有一種質詢方式。然后客戶端可以在請求中添加Authorization頭進行驗證，其Value為身份驗證的憑證信息。

 

HTTP身份驗證流程

Bearer認證（也叫做令牌認證）是一種HTTP認證方案，其中包含的安全令牌的叫做Bearer Token。因此Bearer認證的核心是Token。那如何確保Token的安全是重中之重。一種方式是使用Https，另一種方式就是對Token進行加密簽名。而JWT就是一種比較流行的Token編碼方式。

4.2. JWT（Json Web Token)

Json web token (JWT), 是為了在網絡應用環境間傳遞聲明而執行的一種基於JSON的開放標准（RFC 7519）。該token被設計為緊湊且安全的，特別適用於分布式站點的單點登錄（SSO）場景。JWT的聲明一般被用來在身份提供者和服務提供者間傳遞被認證的用戶身份信息，以便於從資源服務器獲取資源，也可以增加一些額外的其它業務邏輯所必須的聲明信息，該token也可直接被用於認證，也可被加密。

JWT有三部分組成：

<header>.<payload>.<signature>

1. Header：由alg和typ組成，alg是algorithm的縮寫，typ是type的縮寫，指定token的類型。該部分使用Base64Url編碼。
2. Payload：主要用來存儲信息，包含各種聲明，同樣該部分也由BaseURL編碼。
3. Signature：簽名，使用服務器端的密鑰進行簽名。以確保Token未被篡改。

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret)

5. 授權模式

OAuth2.0 定義了四種授權模式：

1. Implicit：簡化模式；直接通過瀏覽器的鏈接跳轉申請令牌。
2. Client Credentials：客戶端憑證模式；該方法通常用於服務器之間的通訊；該模式僅發生在Client與Identity Server之間。
3. Resource Owner Password Credentials：密碼模式
4. Authorization Code：授權碼模式；

5.1. Client Credentials

 

客戶端憑證模式

客戶端憑證模式，是最簡單的授權模式，因為授權的流程僅發生在Client與Identity Server之間。

該模式的適用場景為服務器與服務器之間的通信。比如對於一個電子商務網站，將訂單和物流系統分拆為兩個服務分別部署。訂單系統需要訪問物流系統進行物流信息的跟蹤，物流系統需要訪問訂單系統的快遞單號信息進行物流信息的定時刷新。而這兩個系統之間服務的授權就可以通過這種模式來實現。

5.2. Resource Owner Password Credentials

 

密碼模式

Resource Owner其實就是User，所以可以直譯為用戶名密碼模式。密碼模式相較於客戶端憑證模式，多了一個參與者，就是User。通過User的用戶名和密碼向Identity Server申請訪問令牌。這種模式下要求客戶端不得儲存密碼。但我們並不能確保客戶端是否儲存了密碼，所以該模式僅適用於受信任的客戶端。否則會發生密碼泄露的危險。該模式不推薦使用。

5.3. Authorization Code

 

image.png

授權碼模式是一種混合模式，是目前功能最完整、流程最嚴密的授權模式。它主要分為兩大步驟：認證和授權。
其流程為：

1. 用戶訪問客戶端，客戶端將用戶導向Identity Server。
2. 用戶填寫憑證信息向客戶端授權，認證服務器根據客戶端指定的重定向URI，並返回一個【Authorization Code】給客戶端。
3. 客戶端根據【Authorization Code】向Identity Server申請【Access Token】

5.4. Implicit

 

簡化模式

簡化模式是相對於授權碼模式而言的。其不再需要【Client】的參與，所有的認證和授權都是通過瀏覽器來完成的。

6. IdentityServer4 集成

 

如何集成Identity Server

通過以上知識點的梳理，我們對OpenId Connect 和OAuth2.0的一些相關概念有了大致認識。而IdentityServer4是為ASP.NET CORE量身定制的實現了OpenId Connect和OAuth2.0協議的認證授權中間件。
所以自然而然我們對IdentityServer4有了基礎的認識。下面就來介紹如何集成IdentityServer4。其主要分為三步：

1. IdentityServer如何配置和啟用IdentityServer中間件
2. Resources如何配置和啟用認證授權中間件
3. Client如何認證和授權

6.1. Identity Server 中間件的配置和啟用

作為一個獨立的Identity Server，它必須知道哪些資源需要保護，必須知道哪些客戶端能夠允許訪問，這是配置的基礎。
所以IdentityServer中間件的配置的核心就是：

1. 配置受保護的資源列表
2. 配置允許驗證的Client

public class Startup
{
    public void ConfigureServices(IServiceCollection services)
    {
        services.AddMvc();
        // configure identity server with in-memory stores, keys, clients and scopes
        services.AddIdentityServer()
            .AddDeveloperSigningCredential()
             //配置身份資源
            .AddInMemoryIdentityResources(Config.GetIdentityResources())
              //配置API資源
            .AddInMemoryApiResources(Config.GetApiResources())
             //預置允許驗證的Client
            .AddInMemoryClients(Config.GetClients())
            .AddTestUsers(Config.GetUsers());
        services.AddAuthentication()
              //添加Google第三方身份認證服務（按需添加）
            .AddGoogle("Google", options =>
            {
                options.SignInScheme = IdentityServerConstants.ExternalCookieAuthenticationScheme;
                options.ClientId = "434483408261-55tc8n0cs4ff1fe21ea8df2o443v2iuc.apps.googleusercontent.com";
                options.ClientSecret = "3gcoTrEDPPJ0ukn_aYYT6PWo";
            })
            //如果當前IdentityServer不提供身份認證服務，還可以添加其他身份認證服                務提供商
            .AddOpenIdConnect("oidc", "OpenID Connect", options =>
            {
                options.SignInScheme = IdentityServerConstants.ExternalCookieAuthenticationScheme;
                options.SignOutScheme = IdentityServerConstants.SignoutScheme;
                options.Authority = "https://demo.identityserver.io/";
                options.ClientId = "implicit";
                options.TokenValidationParameters = new TokenValidationParameters
                {
                    NameClaimType = "name",
                    RoleClaimType = "role"
                };
            });
    }
    public void Configure(IApplicationBuilder app, IHostingEnvironment env)
    {
        if (env.IsDevelopment())
        {
            app.UseDeveloperExceptionPage();
        }
        //添加IdentityServer中間件到Pipeline
        app.UseIdentityServer();
        app.UseStaticFiles();
        app.UseMvcWithDefaultRoute();
    }

 

配置完，添加IdentityServer到Pipeline即可。

如果要支持第三方登錄服務或自己實現的OpenId Connect服務，則需要額外配置下身份認證中間件。

6.2. Resources的保護配置

配置完Identity Server，接下來我們該思考如何來保護Resources，以及如何將所有的認證和授權請求導流到Identity Server呢？
在此之前，我們還是要梳理下Client訪問Resources的請求順序：

1. Client請求資源，資源如果需要進行身份認證和授權，則將請求導流到Identity Server。
2. Identity Server根據Client配置的授權類型，返回【Token】。
3. Client攜帶【Token】請求資源。
4. 受保護的資源服務器要能夠驗證【Token】的正確性。

所以針對要保護的資源，我們需要以下配置：

1. 指定資源是否需要保護；
2. 指定IdentityServer用來進行認證和授權跳轉；
3. 指定Token驗證；

代碼示例：

//使用[Authorize]特性，來顯式指定受保護的資源
[Route("[controller]")]
[Authorize]
public class IdentityController : ControllerBase
{
    [HttpGet]
    public IActionResult Get()
    {
        return new JsonResult(from c in User.Claims select new { c.Type, c.Value });
    }
}

public class Startup
{
    public void ConfigureServices(IServiceCollection services)
    {
        services.AddMvcCore()
            .AddAuthorization()
            .AddJsonFormatters();
        //指定認證方案
        services.AddAuthentication("Bearer")
              //添加Token驗證服務到DI
            .AddIdentityServerAuthentication(options =>
            {
                //指定授權地址
                options.Authority = "http://localhost:5000";
                options.RequireHttpsMetadata = false;
                options.ApiName = "api1";
            });
    }
    public void Configure(IApplicationBuilder app)
    {
        //添加認證中間件到Pipeline
        app.UseAuthentication();
        app.UseMvc();
    }
}

 

6.3. Client的請求配置

資源和認證服務器都配置完畢，接下來客戶端就可以直接訪問了。
如果針對控制台客戶端應用，三步走就可以訪問Api：

1. 使用DiscoverClient發現Token Endpoint
2. 使用TokenClient請求Access Token
3. 使用HttpClient訪問Api
   代碼示例如下：

// discover endpoints from metadata
var disco = await DiscoveryClient.GetAsync("http://localhost:5000");
// request token（使用的是ClientCredentials授權類型）
var tokenClient = new TokenClient(disco.TokenEndpoint, "client", "secret");
var tokenResponse = await tokenClient.RequestClientCredentialsAsync("api1")
if (tokenResponse.IsError)
{
    Console.WriteLine(tokenResponse.Error);
    return;
}
Console.WriteLine(tokenResponse.Json);
Console.WriteLine("\n\n");
// call api
var client = new HttpClient();
client.SetBearerToken(tokenResponse.AccessToken);

 

如果針對ASP.NET Web控制台客戶端，我們先來回答一個問題：

1. 如果Web應用是否需要登錄？
2. 如果需要登錄，就需要進行身份認證。
3. 身份認證成功后，也就需要會話狀態的維持。

回答完上面的問題，我們也就梳理出了配置要點：

1. 添加身份認證中間件
2. 啟用Cookie進行會話保持
3. 添加OIDC，使用我們自己定義的IdentityServer提供的認證服務

public void ConfigureServices(IServiceCollection services)
{
    services.AddMvc();
    JwtSecurityTokenHandler.DefaultInboundClaimTypeMap.Clear();
    services.AddAuthentication(options =>
        {
            options.DefaultScheme = "Cookies";
            options.DefaultChallengeScheme = "oidc";
        })
        .AddCookie("Cookies")
        .AddOpenIdConnect("oidc", options =>
        {
            options.SignInScheme = "Cookies";
            options.Authority = "http://localhost:5000";
            options.RequireHttpsMetadata = false;
            options.ClientId = "mvc";
            options.SaveTokens = true;
        });
}
public void Configure(IApplicationBuilder app, IHostingEnvironment env
{
    if (env.IsDevelopment())
    {
        app.UseDeveloperExceptionPage();
    }
    else
    {
        app.UseExceptionHandler("/Home/Error");
    }
    app.UseAuthentication();
    app.UseStaticFiles();
    app.UseMvcWithDefaultRoute();
}

 

7. 最后

本文通過介紹IdentityServer4涉及到的術語和相關概念，再結合官方實例，梳理了集成IdentityServer4的大致思路。而關於如何與ASP.NET Identity、EF Core集成，本文並未涉及，詳參官方文檔。

Identity Server 官方文檔
dentityServer4 中文文檔與實戰
ASP.NET Core 認證與授權[4]:JwtBearer認證
Bearer Authentication
JSON Web Token
理解OAuth 2.0
Identity Server 授權類型

作者：聖傑
鏈接：https://www.jianshu.com/p/56b577d8f786
來源：簡書
著作權歸作者所有。商業轉載請聯系作者獲得授權，非商業轉載請注明出處。