ASP.NET Core：使用IdentityServer构建可靠的身份验证和授权系统

阅读量：3524 次

发布时间：2019-05-20

本文共 4679 字，大约阅读时间需要 15 分钟。

在本文中，我们将看到使用Identity Server进行身份验证和授权的奇怪情况。我们将介绍OAuth 2.0和OpenID Connect等花哨的术语。本文的目的是指导您完成实现身份验证和授权时必须经历的所有混乱过程。我会尽力用通俗易懂的英语来解释。

OAuth 2.0到底是什么？

OAuth 2.0是授权协议，允许用户授予第三方应用程序访问用户的资源，而不实际暴露用户的身份或凭证。这里要注意的一点是它是一个授权协议，应仅用于授权方案，而不用于身份验证工作流。

为什么使用OpenID Connect？

OAuth 2.0在解决授权问题方面非常出色，但是我们需要一个解决方案来处理用户身份验证用例。精明的大脑汇聚在一起，以构建有效的解决方案。OpenID Connect是在OAuth 2.0框架之上构建的身份协议。

向IdentityServer打个招呼！👋

IdentityServer是用于ASP.NET Core的OpenID Connect和OAuth 2.0框架。IdentityServer是OpenID Connect的官方实现。

按照IdentityServer的官方，它有很多的就业机会和特点：

保护您的资源

使用本地帐户存储或通过外部身份提供程序对用户进行身份验证

提供会话管理和单点登录

管理和认证客户

向客户端发布身份和访问令牌

验证令牌

Hello World程序

在本教程中，我们将构建一个中央身份验证系统，该系统将处理来自MVC和angular应用程序的身份验证请求以访问受保护的资源。

Hello World程序

MVC应用

angular应用

我们将使用IdentityServer建立一个中央身份验证系统。然后，我们将创建一个MVC应用，其安全页面可以在身份验证服务器进行身份验证后访问。我们还将创建一个Angular应用程序，该应用程序将在身份验证后能够访问安全的API。

设置中央身份验证系统所需的步骤——从1000英尺开始查看

创建MVC ASP.NET Core项目

添加IdentityServer NuGet软件包

添加EF Core NuGet软件包以存储客户端和配置

在启动中配置IdentityServer服务

在中间件中添加IdentityServer管道

在数据库中播种客户端和资源数据

创建AccountController以处理注册和登录场景

从头开始设置身份验证服务器

1、创建一个空的MVC dotnet core项目。

2、添加所需的NuGet软件包。

这是几个包，我们需要设置IdentityServer，AspNetIdentity以及最后EF的持久性。

3、让我们在启动文件中配置IdentityServer，AspNetIdentity和EF。

让我们了解我们在这里做了什么。首先，我们通过创建自己的DbContext来配置实体框架，然后使用相同的DbContext进行AspNetIdentity配置。最后，我们通过提供自定义ConfiguartionDBContext和PersistedGrantDbContext进行IdentityServer的配置。所有客户端和资源信息将通过这些上下文存储。

4、在中间件管道中，我们只需要添加一行即可配置IdentityServer中间件。

自定义DbContext类：

using AuthorizationServer.Models;using Microsoft.AspNetCore.Identity.EntityFrameworkCore;using Microsoft.EntityFrameworkCore;namespace AuthorizationServer.Persistence{    public class AuthDbContext : IdentityDbContext
    
         {        public AuthDbContext(DbContextOptions
     
       options)            : base(options)        {        }protected override void OnModelCreating(ModelBuilder builder)        {            base.OnModelCreating(builder);            builder.HasDefaultSchema("Identity");        }    }}using IdentityServer4.EntityFramework.DbContexts;using IdentityServer4.EntityFramework.Options;using Microsoft.EntityFrameworkCore;namespace AuthorizationServer.Persistence{    public class AuthConfigurationDbContext :                  ConfigurationDbContext
      
           {        public AuthConfigurationDbContext               (DbContextOptions
       
         options,                ConfigurationStoreOptions storeOptions) : base(options, storeOptions)        {        }protected override void OnModelCreating(ModelBuilder modelBuilder)        {            base.OnModelCreating(modelBuilder);            modelBuilder.HasDefaultSchema("Identity");        }    }}using IdentityServer4.EntityFramework.DbContexts;using IdentityServer4.EntityFramework.Options;using Microsoft.EntityFrameworkCore;namespace AuthorizationServer.Persistence{    public class AuthPersistedGrantDbContext :                  PersistedGrantDbContext
        
             {        public AuthPersistedGrantDbContext               (DbContextOptions
         
           options, OperationalStoreOptions storeOptions) : base(options, storeOptions) { }protected override void OnModelCreating(ModelBuilder modelBuilder) { base.OnModelCreating(modelBuilder); modelBuilder.HasDefaultSchema("Identity"); } }}

没什么，我们只是创建了自定义的DbContext，所以我们可以有一个自定义的架构名称。

5、连接所有DbContext之后，我们可以创建一个种子类来为客户和资源信息提供种子。我们可以将所有信息直接添加到数据库中，也可以在应用程序启动时为数据添加种子。

我们需要将由IdentityServer进行身份验证的客户端信息，在我们的示例中，我们有两个客户端，一个是MVC应用程序，另一个是Angular应用程序。我们需要指定这些应用允许使用哪些资源。Angular应用程序需要WeatherAPI、OpenId和Profile一起访问。同样，MVC应用将需要访问OpenId和Profile。我们需要添加WeatherAPI为作用域。客户端的URL是托管应用程序的URL。