IdentityServer4实现.NetCoreAPI接⼝权限认证(快速⼊门)
什么是IdentityServer4
官⽅解释:IdentityServer4是基于ASP.NET Core实现的认证和授权框架,是对OpenID Connect和OAuth 2.0协议的实现。
通俗来讲,就是服务端对需要认证授权的资源(客户端请求资源)在外层使⽤IdentityServer4框架进⾏封装加壳,⽤户只能通过获取IdentityServer4颁发的Token令牌才能进⾏资源访问。
下⾯开始进⼊正题,如何快速搭建实现API接⼝鉴权。
准备:1.下载准备NetCore sdk环境
2.本⽂开发环境为VS2019,部分代码可能和之前的版本不同。
第⼀步,新建权限认证服务项⽬,本⽂以Net Core API项⽬模板为例(也可以选择其他模板)
第⼆步,添加IdentityServer4 Nuget程序包。不同版本依赖的NetCoe sdk环境不同,需⼿动选择合适
版本。
这⾥提醒⼀下,有些同学的系统可能添加Nuget程序包时,发现⽆法到程序包。我们这⾥出了解决⽅法,点击Nuget程序包添加页⾯的右上⾓设置按钮,看到如下页⾯,⼿动添加如下的,然后重新搜索即可。
第三步,添加IdentityServer4配置管理类。本⽂以⽤户密码授权模式为例。
public class Config
{
/// <summary>
/// 定义资源范围
/// </summary>
public static IEnumerable<ApiResource> GetApiResources()
{
return new List<ApiResource>
{
new ApiResource("api1", "我的第⼀个API")
};
}
/
// <summary>
/// 定义访问的资源客户端
/// </summary>
/// <returns></returns>
public static IEnumerable<Client> GetClients()
{
return new List<Client>
{
new Client{
ClientId="client",//定义客户端ID
ClientSecrets=
{
new Secret("secret".Sha256())//定义客户端秘钥
},
AllowedGrantTypes=GrantTypes.ResourceOwnerPassword,//授权⽅式为⽤户密码模式授权,类型可参考GrantTypes枚举
AllowedScopes={ "api1"}//允许客户端访问的范围
}
};
}
/// <summary>
/// 这个⽅法是来规范tooken⽣成的规则和⽅法的。⼀般不进⾏设置,直接采⽤默认的即可。
/// </summary>
/// <returns></returns>
public static IEnumerable<IdentityResource> GetIdentityResources()
{
return new IdentityResource[]
{
new IdentityResources.OpenId()
};
}
}
第四步,Startup启动类中注册服务中间件
// This method gets called by the runtime. Use this method to add services to the container.
public void ConfigureServices(IServiceCollection services)
{
services.AddIdentityServer()//注册服务
.AddDeveloperSigningCredential()
.AddInMemoryApiResources(Config.GetApiResources())//配置类定义的授权范围
.AddInMemoryClients(Config.GetClients())//配置类定义的授权客户端
.AddTestUsers(new List<TestUser> { new TestUser { Username = "Admin", Password = "123456", SubjectId = "001", IsActive = true } });//模拟测试⽤户,这⾥偷懒了,⽤户可以单独管理,最好不要直接在这⾥New
services.AddControllers();
}
// This method gets called by the runtime. Use this method to configure the HTTP request pipeline.
public void Configure(IApplicationBuilder app, IWebHostEnvironment env)
{
if (env.IsDevelopment())
{
app.UseDeveloperExceptionPage();
}
app.UseIdentityServer();//添加中间件
app.UseHttpsRedirection();
app.UseRouting();
app.UseAuthorization();
app.UseEndpoints(endpoints =>
{
endpoints.MapControllers();
});
}
到这⾥,Identityserver4鉴权服务已经简单搭建完成。我们直接在VS中启动项⽬。并在端⼝号后⾯加上/.well-known/openid-configuration,出现如下页⾯则表⽰配置成功。
第五步,PostMan模拟请求获取token(当然这⼀步⾮必须,对postman感兴趣的同学可以试⼀试)
我们都知道IdentityServer4需要客户端先访问鉴权服务获取token令牌,才能进⼀步访问加权的服务器资源。我们这⾥先通过PostMan模拟客户端请求,获取Token。(postman⼯具⼤家可以⽹上下载,也可以使⽤⾕歌⾃带的postman插件)
1.使⽤postman请求token时,有个地⽅需要注意下:
2.请求参数
这⾥的参数value就是我们在鉴权服务配置类设置的client和TestUser信息。
Grant_Type为授权类型,本⽂我们使⽤的是⽤户密码模式,所以这⾥填password.
这⾥我们看到,我们已成功模拟请求获取了Token。⼤功告成,鉴权服务已验证可⽤,我们赶紧去发布部署吧。
第六步,鉴权服务发布部署。
.Net Core发布模式有三种:
1.框架依赖+可移植
2.框架依赖+运⾏时环境(带可执⾏程序exe)
3.独⽴部署
简单来说,框架依赖模式发布的程序包,都需要部署环境⾃带 core等运⾏环境;⽽独⽴部署则不需要考虑,发布包已经包含了运⾏环境,直接部署即可。下⾯本⽂以框架依赖+可移植发布,做简单介绍。
发布完成后,我们会在发布路径中看到程序dll.我们到发布路径,通过CMD命令窗⼝:dotnet xxx.dll可直接启动。
如上,则表⽰启动成功。(如果其他发布模式,直接双击发布包中可执⾏exe⽂件即可启动)鉴权服务部署完成后,我们API接⼝如何使⽤呢,下⾯开始正式介绍。
第⼀步:新建Web Api项⽬
添加Nuget程序包
第⼆步:配置启动类
public void ConfigureServices(IServiceCollection services)
{
//注册服务
services.AddAuthentication("Bearer")
.AddIdentityServerAuthentication(x =>
{
x.Authority = "localhost:5000";//鉴权服务地址
x.RequireHttpsMetadata = false;
x.ApiName = "api1";//鉴权范围
});
services.AddControllers();
}
public void Configure(IApplicationBuilder app, IWebHostEnvironment env)
{
if (env.IsDevelopment())
{
app.UseDeveloperExceptionPage();
}
webserver接口开发app.UseAuthentication();//添加鉴权认证
app.UseHttpsRedirection();
app.UseRouting();
app.UseAuthorization();
app.UseEndpoints(endpoints =>
{
endpoints.MapControllers();
});
}
public static IHostBuilder CreateHostBuilder(string[] args) =>
Host.CreateDefaultBuilder(args)
.ConfigureWebHostDefaults(webBuilder =>
{
webBuilder.UseUrls("*:5555");//设置启动端⼝号
webBuilder.UseStartup<Startup>();
});
第三步:创建API DEMO
[Route("api/[controller]")]
[ApiController]
public class TestController : ControllerBase
{
/
/ GET: api/Test
/// <summary>
/// ⽅法加权
/// </summary>
/// <returns></returns>
[Authorize]
[HttpGet]
public IEnumerable<string> Get()
{
return new string[] { "value1", "value2" };
}
/
// <summary>
/// ⽅法未加权可直接访问
/// </summary>
/// <param name="id"></param>
/// <returns></returns>
// GET: api/Test/5
[HttpGet("{id}", Name = "Get")]
public string Get(int id)
{
return "value";
}
/
// <summary>
/// 开放获取token API 接⼝
/// </summary>
/// <returns></returns>
[HttpGet("GetToken")]
public async Task<string> GetToken()
{
var client = new HttpClient();
var tokenResponse = await client.RequestPasswordTokenAsync(new PasswordTokenRequest
{
Address = "localhost:5000/connect/token",
ClientId = "client",
ClientSecret = "secret",
Scope = "api1",
UserName = "Admin",
Password = "123456",
});
if (tokenResponse.IsError)
{
return tokenResponse.Error;
}
return tokenResponse.AccessToken;
}
}
1.接⼝⽅法上加上:
[Authorize]
相当于对接⼝加权,只有被授权的⽤户才能访问(即获取token的⽤户)。此时上⽂中接⼝api/Test由于被加权,请求时会报错;但是api/Test/1接⼝未加权,仍可正常请求。那么我们如何才能访问被加权的接⼝呢Go Next
2.我们这⾥开放了获取Token的接⼝GetToken(类似于上⽂中通过PostMan获取Token)
访问被加权的API接⼝,我们这⾥需要先请求获取Token,然后请求加权接⼝时带上token参数。
3.请求加权接⼝
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论