IdentityServer相关问题

identityServer4相关问题

前言

相信大家IdentityServer相关的文章、视频已经看了不少。甚至实际也写过一些相关的代码。但是，要问你懂了里面的原理吗？我感觉要打一个问号。这一篇不讲原理，只讲一下，ids4作为验证中心，部署发布到K8s存在的一些问题。

chorme浏览器，使用Cookie认证失效。

参考文章：
https://juejin.im/post/6844904088165941262
https://blog.csdn.net/sinat_36521655/article/details/104844667

        public void ConfigureServices(IServiceCollection services)
        {
            services.AddMvc();

            JwtSecurityTokenHandler.DefaultInboundClaimTypeMap.Clear();

            services.AddAuthentication(options =>
                {
                    options.DefaultScheme = "Cookies";
                    options.DefaultChallengeScheme = "oidc";
                })
                .AddCookie("Cookies")
                .AddOpenIdConnect("oidc", options =>
                {
                    options.Authority = "http://localhost:5000";
                    options.RequireHttpsMetadata = false;

                    options.ClientId = "mvc";
                    options.SaveTokens = true;
                });
        }

上面的代码是我的客户端认证代码，可以看到我的本地认证是用的“Cookies” 认证。我输入账户密码后， 通过http://localhost:5000这个地址认证，认证通过后，会往浏览器写入一个Cookie,然后拿着这个cookie，跳转访问到我的MVC客户端的主页。但是我们发现,登陆成功后，我们仍然跳转到了登陆页面。原因是：cookie写入失败，我们跳转访问MVC客户端的主页认证失败，所以重新又跳回了登录页。

image.png
我们看到有两个黄色的感叹号，这代表我请求写入cookie时失败了。这是因为chorme的跨域cookie策略导致的，具体参考我上面的两个链接的文章。那怎么解决呢？因为chorme是有一个策略，使用https时，可以跨站写入cookie。但是我测试环境搭建https比较麻烦，我正式环境为了安全我还是用https。所以我们的解决方案如下：

1.ids4服务端加上cookie策略，当正式环境时，必须为https，测试环境时，可以用http

        public static IServiceCollection AddCustomAuthentication(this IServiceCollection services, 
            IConfiguration configuration, IWebHostEnvironment environment)
        {
            services.AddAuthentication()
                .AddCookie(options =>
                {
                    options.Cookie.SameSite = SameSiteMode.None;
                    options.Cookie.HttpOnly = true;
                    options.Cookie.SecurePolicy = environment.IsDevelopment()
                        ? CookieSecurePolicy.SameAsRequest
                        : CookieSecurePolicy.Always;
                })

            return services;
        }

2.浏览器显式关闭该功能。

地址栏输入：chrome://flags/
找到SameSite by default cookies和Cookies without SameSite must be secure
将上面两项设置为 Disable
这样，我们问题就解决了。

授权服务（ids4）部署到k8s，验证码图片看不到

参考文章：
https://www.cnblogs.com/stulzq/p/10172550.html
https://github.com/dotnet/dotnet-docker/issues/618

其实这个问题，跟ids4没啥关系，只不过我们的登录验证这个项目叫identity，这个是用ids4验证的，就一起写了。我们的验证码请求访问的是identity这个项目，但是我把它发布到k8s后发现看不到验证码的图片。具体原因上面两个文章写的很清楚了，我就不写了。写这个只是上面的dockerfile和命令比较老，docker build时会报错，所以解决方案 具体dockerfile如下：

FROM base AS final
WORKDIR /app

#解决验证码图片不能显示
RUN sed -i "s@http://deb.debian.org@http://mirrors.aliyun.com@g" /etc/apt/sources.list 
RUN apt-get update -y && apt-get install -y libgdiplus && apt-get clean && ln -s /usr/lib/libgdiplus.so /usr/lib/gdiplus.dll

#解决发布k8s后，连接sqlserver连不上
RUN sed -i 's/MinProtocol = TLSv1.2/MinProtocol = TLSv1/g' /etc/ssl/openssl.cnf
RUN sed -i 's/MinProtocol = TLSv1.2/MinProtocol = TLSv1/g' /usr/lib/ssl/openssl.cnf
COPY --from=publish /app/publish .

各位只用将这两行命令，复制进dockerfile就好，第一行是改镜像源，为了加速。第二行是安装。

RUN sed -i "s@http://deb.debian.org@http://mirrors.aliyun.com@g" /etc/apt/sources.list 
RUN apt-get update -y && apt-get install -y libgdiplus && apt-get clean && ln -s /usr/lib/libgdiplus.so /usr/lib/gdiplus.dll

授权服务（ids4）部署到k8s,偶尔登录需要点两次，不稳定

因为ids4自带antiforgery Token检测，而antiforgery Token每次应用程序启动都会变，所以分布式部署时，经常出现登录点两次，将antiforgery Token做持久化，并用redis保存就好