IdentityServer4 快速入门#5:OpenID Co
Note
对于任何前提条件(例如模板),请查看 overview first.
在之前的快速入门中,我们探讨了API访问和用户身份验证。现在我们要把这两个部分放在一起。
OpenID Connect和OAuth 2.0组合的优点在于,您可以通过单一协议和与令牌服务的一次交换来实现。
在上一个快速入门中,我们使用了OpenID Connect隐式流程。在隐式流中,所有令牌都是通过浏览器传输的,这对于身份令牌是完全可以的。现在我们还想请求访问令牌。
访问令牌比身份令牌更敏感,如果不需要,我们不希望将它们公开给“外部”世界。 OpenID Connect包含一个称为“ Hybrid Flow”的流程,该流程使我们两全其美,身份令牌是通过浏览器通道传输的,因此客户端可以在进行更多工作之前对其进行验证。如果验证成功,则客户端将打开通向令牌服务的反向通道,以检索访问令牌。
修改客户端配置
不需要太多修改。首先,我们要允许客户端使用混合流,此外,我们还希望客户端允许进行服务器到服务器的API调用,这些调用不在用户的上下文中(这与我们的客户端凭据快速入门非常相似)。这是使用AllowedGrantTypes属性表示的。
接下来,我们需要添加一个客户端密码。这将用于在反向通道上检索访问令牌。
最后,我们还为客户端提供了offline_access范围的访问权限-这允许为长时间的API访问请求刷新令牌:
new Client
{
ClientId = "mvc",
ClientName = "MVC Client",
AllowedGrantTypes = GrantTypes.Hybrid,
ClientSecrets =
{
new Secret("secret".Sha256())
},
RedirectUris = { "http://localhost:5002/signin-oidc" },
PostLogoutRedirectUris = { "http://localhost:5002/signout-callback-oidc" },
AllowedScopes =
{
IdentityServerConstants.StandardScopes.OpenId,
IdentityServerConstants.StandardScopes.Profile,
"api1"
},
AllowOfflineAccess = true
};
修改MVC客户端
MVC客户端上的修改也很少-ASP.NET Core OpenID Connect处理程序具有对混合流的内置支持,因此我们只需要更改一些配置值即可。
我们将ClientSecret配置为与IdentityServer上的secret匹配。 添加offline_access和api1范围,并将ResponseType设置为code id_token(这基本上意味着“使用混合流”)。 为了使website声明保留在我们的mvc客户身份中,我们需要使用ClaimActions明确映射声明。
.AddOpenIdConnect("oidc", options =>
{
options.SignInScheme = "Cookies";
options.Authority = "http://localhost:5000";
options.RequireHttpsMetadata = false;
options.ClientId = "mvc";
options.ClientSecret = "secret";
options.ResponseType = "code id_token";
options.SaveTokens = true;
options.GetClaimsFromUserInfoEndpoint = true;
options.Scope.Add("api1");
options.Scope.Add("offline_access");
options.ClaimActions.MapJsonKey("website", "website");
});
当您运行MVC客户端时,除了同意屏幕现在会要求您提供其他API和脱机访问范围之外,没有太大区别。
使用访问令牌
OpenID Connect处理程序会自动为您保存令牌(在我们的情况下为身份,访问和刷新)。 这就是SaveTokens设置的作用。
Cookie检查视图会迭代这些值并在屏幕上显示它们。
从技术上讲,令牌存储在cookie的属性部分中。 访问它们的最简单方法是使用Microsoft.AspNetCore.Authentication命名空间中的扩展方法。
例如:
var accessToken = await HttpContext.GetTokenAsync("access_token")
var refreshToken = await HttpContext.GetTokenAsync("refresh_token");
要使用访问令牌访问API,您所需要做的就是获取令牌,并将其设置在HttpClient上:
public async Task<IActionResult> CallApi()
{
var accessToken = await HttpContext.GetTokenAsync("access_token");
var client = new HttpClient();
client.DefaultRequestHeaders.Authorization = new AuthenticationHeaderValue("Bearer", accessToken);
var content = await client.GetStringAsync("http://localhost:5001/identity");
ViewBag.Json = JArray.Parse(content).ToString();
return View("json");
}
创建一个名为json.cshtml的视图,该视图将输出json,如下所示:
<pre>@ViewBag.Json</pre>
确保API正在运行,启动MVC客户端,并在身份验证后调用/home/CallApi。
