IdentityServer4 快速入门#3: 使用OpenID

注意

对于任何先决条件（例如模板），请先查看概述。
在本快速入门中，我们希望通过OpenID Connect协议向我们的IdentityServer添加对交互式用户身份验证的支持。
安装好之后，我们将创建一个将使用IdentityServer进行身份验证的MVC应用程序。

添加UI

Identity Server已内置OpenID Connect所需的所有协议支持。 您需要提供登录，注销，同意和错误所需的UI部分。

虽然外观和确切的工作流程在每个IdentityServer实施中可能总是会有所不同，但我们提供了一个基于MVC的示例UI，您可以将其用作起点。

您可以在快速入门用户界面存储库中找到该用户界面。 您可以克隆或下载此存储库，然后将控制器，视图，模型和CSS放到IdentityServer Web应用程序中。

或者，您可以使用.NET CLI（从src/IdentityServer文件夹中运行):

dotnet new is4ui

添加MVC UI后，还需要在DI系统和管道中启用MVC。 当您查看Startup.cs时，您会在ConfigureServices和Configure方法中找到注释，这些注释告诉您如何启用MVC。

运行IdentityServer应用程序，您现在应该看到一个主页。

花一些时间检查控制器和模型，您对它们的了解越深入，将来进行修改的难度就越大。 大多数代码使用“功能文件夹”样式保存在“快速入门”文件夹中。 如果这种风格不适合您，请随时以所需的任何方式组织代码。

创建一个MVC客户端

接下来，您将在解决方案中添加一个MVC应用程序。 为此，请使用ASP.NET Core“ Web应用程序”（即MvcClient）模板。 不要在向导中配置“Authentication”设置-您将在此快速入门中手动进行设置。 创建项目后，将应用程序配置为在端口5002上运行。

要将对OpenID Connect身份验证的支持添加到MVC应用程序，请在Startup.cs中的ConfigureServices中添加以下内容：

public void ConfigureServices(IServiceCollection services)
{
    services.AddMvc();

    JwtSecurityTokenHandler.DefaultInboundClaimTypeMap.Clear();

    services.AddAuthentication(options =>
        {
            options.DefaultScheme = "Cookies";
            options.DefaultChallengeScheme = "oidc";
        })
        .AddCookie("Cookies")
        .AddOpenIdConnect("oidc", options =>
        {
            options.Authority = "http://localhost:5000";
            options.RequireHttpsMetadata = false;

            options.ClientId = "mvc";
            options.SaveTokens = true;
        });
}

AddAuthentication将身份验证服务添加到DI。 我们使用cookie来本地登录用户（通过“Cookies作为DefaultScheme），并且将DefaultChallengeScheme设置为oidc，因为当需要用户登录时，我们将使用OpenID Connect协议。

然后，我们使用AddCookie添加可以处理cookie的处理程序。

最后，AddOpenIdConnect用于配置执行OpenID Connect协议的处理程序。 Authority表明我们信任IdentityServer。 然后，我们通过ClientId识别此客户端。 SaveTokens用于将IdentityServer中的令牌保留在cookie中（稍后将需要它们）。

同样，我们已关闭JWT声明类型映射，以允许众所周知的声明（例如“ sub”和“ idp”）不受干扰地流过：

JwtSecurityTokenHandler.DefaultInboundClaimTypeMap.Clear();

然后，要确保身份验证服务对每个请求执行，在Startup.csd文件中的Configure方法添加 UseAuthentication:

public void Configure(IApplicationBuilder app, IHostingEnvironment env)
{
    if (env.IsDevelopment())
    {
        app.UseDeveloperExceptionPage();
    }
    else
    {
        app.UseExceptionHandler("/Home/Error");
    }

    app.UseAuthentication();

    app.UseStaticFiles();
    app.UseMvcWithDefaultRoute();
}

认证中间件应在管道中的MVC之前添加。

最后一步是触发身份验证握手。 为此，转到Home控制器，并在其中一项操作上添加[Authorize]。 还修改Home View文件以显示用户的声明以及cookie属性：

@using Microsoft.AspNetCore.Authentication

<h2>Claims</h2>

<dl>
    @foreach (var claim in User.Claims)
    {
        <dt>@claim.Type</dt>
        <dd>@claim.Value</dd>
    }
</dl>

<h2>Properties</h2>

<dl>
    @foreach (var prop in (await Context.AuthenticateAsync()).Properties.Items)
    {
        <dt>@prop.Key</dt>
        <dd>@prop.Value</dd>
    }
</dl>

如果现在使用浏览器导航到该控制器，将尝试重定向到IdentityServer-这将导致错误，因为尚未注册MVC客户端。

添加对OpenID Connect Identity Scope的支持

与OAuth 2.0类似，OpenID Connect也使用范围概念。 同样，范围代表您要保护的内容以及客户端要访问的内容。 与OAuth相比，OIDC中的范围不代表API，而是身份数据，例如用户ID，名称或电子邮件地址。

通过修改Config.cs中的GetIdentityResources方法，添加对标准openid（主题id）和profile（名字，姓氏等）范围的支持：

public static IEnumerable<IdentityResource> GetIdentityResources()
{
    return new List<IdentityResource>
    {
        new IdentityResources.OpenId(),
        new IdentityResources.Profile(),
    };
}

注意

所有标准范围及其相应的声明均可在OpenID Connect规范中找到

为OpenID Connect隐式流添加客户端

最后一步是将MVC客户端的新配置条目添加到IdentityServer。

基于OpenID Connect的客户端与到目前为止我们添加的OAuth 2.0客户端非常相似。 但是由于OIDC中的流始终是交互的，因此我们需要向配置中添加一些重定向URL。

将以下内容添加到您的客户端配置中：

public static IEnumerable<Client> GetClients()
{
    return new List<Client>
    {
        // 其他代码省略...

        // OpenID Connect隐式流MVC客户端
        new Client
        {
            ClientId = "mvc",
            ClientName = "MVC Client",
            AllowedGrantTypes = GrantTypes.Implicit,

            // 登录后重定向到的位置
            RedirectUris = { "http://localhost:5002/signin-oidc" },

            // 注销后重定向到的位置
            PostLogoutRedirectUris = { "http://localhost:5002/signout-callback-oidc" },

            AllowedScopes = new List<string>
            {
                IdentityServerConstants.StandardScopes.OpenId,
                IdentityServerConstants.StandardScopes.Profile
            }
        }
    };
}

测试客户端

现在终于可以为新的MVC客户端准备好一切了。

通过导航到受保护的控制器操作来触发身份验证握手。 您应该看到重定向到IdentityServer上的登录页面。

image.png

成功登录后，将向用户显示同意屏幕。 用户可以在此处决定是否要将其身份信息发布到客户端应用程序。

注意

可以使用客户端配置上的RequireConsent属性在每个客户端上关闭同意。

image.png

之后，IdentityServer将重定向回MVC客户端，在该客户端上，OpenID Connect身份验证处理程序将处理响应并通过设置cookie在本地登录用户。 最后，MVC视图将显示cookie的内容。

如您所见，cookie包含两部分，用户声明和一些元数据。 此元数据还包含由IdentityServer发行的原始令牌。 可以将此令牌复制到jwt.io来检查其内容。

添加登出

最后一步是将注销添加到MVC客户端。

使用IdentityServer之类的身份验证服务，仅清除本地应用程序cookie是不够的。 另外，您还需要往返IdentityServer以清除中央单点登录会话。

确切的协议步骤是在OpenID Connect处理程序内部实现的，只需将以下代码添加到某个控制器即可触发注销：

public IActionResult Logout()
{
    return SignOut("Cookies", "oidc");
}

这将清除本地cookie，然后重定向到IdentityServer。 IdentityServer将清除其cookie，然后为用户提供一个链接以返回到MVC应用程序。

进一步的实验

如上所述，默认情况下，OpenID Connect处理程序要求配置文件范围。 此范围还包括名称或网站之类的声明。

让我们向用户添加这些声明，以便IdentityServer可以将它们放入身份令牌中：

public static List<TestUser> GetUsers()
{
    return new List<TestUser>
    {
        new TestUser
        {
            SubjectId = "1",
            Username = "alice",
            Password = "password",

            Claims = new []
            {
                new Claim("name", "Alice"),
                new Claim("website", "https://alice.com")
            }
        },
        new TestUser
        {
            SubjectId = "2",
            Username = "bob",
            Password = "password",

            Claims = new []
            {
                new Claim("name", "Bob"),
                new Claim("website", "https://bob.com")
            }
        }
    };
}

下次您进行身份验证时，您的声明页面现在将显示其他声明。

随时添加更多声明-以及更多范围。 您可以在OpenID Connect中间件上的Scope属性中配置在身份验证期间将哪些范围发送到IdentityServer。

还值得注意的是，令牌声明的检索是可扩展性点-IProfileService。 由于我们使用的是AddTestUsers，因此默认情况下使用TestUserProfileService。 您可以在此处检查源代码以查看其工作方式。