快捷導(dǎo)航

IdentityServer4實(shí)現(xiàn).Net Core API接口權(quán)限認(rèn)證(快速入門(mén))

更新時(shí)間：2020年03月25日 15:07:03 作者：跳躍的鍵盤(pán)手

這篇文章主要介紹了IdentityServer4實(shí)現(xiàn).Net Core API接口權(quán)限認(rèn)證，文中通過(guò)示例代碼介紹的非常詳細(xì)，對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值，需要的朋友們下面隨著小編來(lái)一起學(xué)習(xí)學(xué)習(xí)吧

什么是IdentityServer4

官方解釋?zhuān)篒dentityServer4是基于ASP.NET Core實(shí)現(xiàn)的認(rèn)證和授權(quán)框架，是對(duì)OpenID Connect和OAuth 2.0協(xié)議的實(shí)現(xiàn)。

通俗來(lái)講，就是服務(wù)端對(duì)需要認(rèn)證授權(quán)的資源（客戶(hù)端請(qǐng)求資源）在外層使用IdentityServer4框架進(jìn)行封裝加殼，用戶(hù)只能通過(guò)獲取IdentityServer4頒發(fā)的Token令牌才能進(jìn)行資源訪(fǎng)問(wèn)。

下面開(kāi)始進(jìn)入正題，如何快速搭建實(shí)現(xiàn)API接口鑒權(quán)。

準(zhǔn)備：1.下載準(zhǔn)備N(xiāo)etCore sdk環(huán)境

2.本文開(kāi)發(fā)環(huán)境為VS2019,部分代碼可能和之前的版本不同。

第一步，新建權(quán)限認(rèn)證服務(wù)項(xiàng)目，本文以Net Core API項(xiàng)目模板為例（也可以選擇其他模板）

第二步，添加IdentityServer4 Nuget程序包。不同版本依賴(lài)的NetCoe sdk環(huán)境不同，需手動(dòng)選擇合適版本。

這里提醒一下，有些同學(xué)的系統(tǒng)可能添加Nuget程序包時(shí)，發(fā)現(xiàn)無(wú)法找到程序包。我們這里找出了解決方法，點(diǎn)擊Nuget程序包添加頁(yè)面的右上角設(shè)置按鈕，看到如下頁(yè)面，手動(dòng)添加如下的nuget.org，然后重新搜索即可。

第三步，添加IdentityServer4配置管理類(lèi)。本文以用戶(hù)密碼授權(quán)模式為例。

public class Config
  {
    /// <summary>
    /// 定義資源范圍
    /// </summary>
    public static IEnumerable<ApiResource> GetApiResources()
    {
      return new List<ApiResource>
      {
        new ApiResource("api1", "我的第一個(gè)API")
      };
    }

    /// <summary>
    /// 定義訪(fǎng)問(wèn)的資源客戶(hù)端
    /// </summary>
    /// <returns></returns>
    public static IEnumerable<Client> GetClients()
    {
      return new List<Client>
      {
        new Client{
          ClientId="client",//定義客戶(hù)端ID
          ClientSecrets=
          {
            new Secret("secret".Sha256())//定義客戶(hù)端秘鑰
          },
          AllowedGrantTypes=GrantTypes.ResourceOwnerPassword,//授權(quán)方式為用戶(hù)密碼模式授權(quán)，類(lèi)型可參考GrantTypes枚舉
          AllowedScopes={ "api1"}//允許客戶(hù)端訪(fǎng)問(wèn)的范圍

        }
       };
    }

    /// <summary>
    /// 這個(gè)方法是來(lái)規(guī)范tooken生成的規(guī)則和方法的。一般不進(jìn)行設(shè)置，直接采用默認(rèn)的即可。
    /// </summary>
    /// <returns></returns>
    public static IEnumerable<IdentityResource> GetIdentityResources()
    {
      return new IdentityResource[]
      {
        new IdentityResources.OpenId()
      };
    }
  }

第四步，Startup啟動(dòng)類(lèi)中注冊(cè)服務(wù)中間件

// This method gets called by the runtime. Use this method to add services to the container.
    public void ConfigureServices(IServiceCollection services)
    {
      services.AddIdentityServer()//注冊(cè)服務(wù)
        .AddDeveloperSigningCredential()
        .AddInMemoryApiResources(Config.GetApiResources())//配置類(lèi)定義的授權(quán)范圍
        .AddInMemoryClients(Config.GetClients())//配置類(lèi)定義的授權(quán)客戶(hù)端
        .AddTestUsers(new List<TestUser> { new TestUser { Username = "Admin", Password = "123456", SubjectId = "001", IsActive = true } });//模擬測(cè)試用戶(hù)，這里偷懶了，用戶(hù)可以單獨(dú)管理，最好不要直接在這里New
      services.AddControllers();
    }

    // This method gets called by the runtime. Use this method to configure the HTTP request pipeline.
    public void Configure(IApplicationBuilder app, IWebHostEnvironment env)
    {
      if (env.IsDevelopment())
      {
        app.UseDeveloperExceptionPage();
      }

      app.UseIdentityServer();//添加中間件
      
      app.UseHttpsRedirection();

      app.UseRouting();

      app.UseAuthorization();

      app.UseEndpoints(endpoints =>
      {
        endpoints.MapControllers();
      });
    }

應(yīng)用程序默認(rèn)的端口號(hào)有兩種：1.http://localhost:5000 2.https://localhost:5001.

到這里，Identityserver4鑒權(quán)服務(wù)已經(jīng)簡(jiǎn)單搭建完成。我們直接在VS中啟動(dòng)項(xiàng)目。并在端口號(hào)后面加上/.well-known/openid-configuration，出現(xiàn)如下頁(yè)面則表示配置成功。

第五步，PostMan模擬請(qǐng)求獲取token（當(dāng)然這一步非必須，對(duì)postman感興趣的同學(xué)可以試一試）

我們都知道IdentityServer4需要客戶(hù)端先訪(fǎng)問(wèn)鑒權(quán)服務(wù)獲取token令牌，才能進(jìn)一步訪(fǎng)問(wèn)加權(quán)的服務(wù)器資源。我們這里先通過(guò)PostMan模擬客戶(hù)端請(qǐng)求，獲取Token。(postman工具大家可以網(wǎng)上下載，也可以使用谷歌自帶的postman插件)

1.使用postman請(qǐng)求token時(shí)，有個(gè)地方需要注意下：

很多同學(xué)在使用https請(qǐng)求時(shí)，即請(qǐng)求https://localhost:5001，會(huì)發(fā)現(xiàn)無(wú)法成功。因?yàn)閜ostman默認(rèn)把SSL證書(shū)認(rèn)證打開(kāi)了，我們可以手動(dòng)關(guān)閉掉。找到postman頁(yè)面右上方的小扳手圖標(biāo)，進(jìn)入設(shè)置頁(yè)面找到ssl關(guān)掉即可。當(dāng)然同學(xué)們直接使用http://localhost:5000請(qǐng)求就無(wú)需設(shè)置SSL.

2.請(qǐng)求參數(shù)

這里的參數(shù)value就是我們?cè)阼b權(quán)服務(wù)配置類(lèi)設(shè)置的client和TestUser信息。

Grant_Type為授權(quán)類(lèi)型，本文我們使用的是用戶(hù)密碼模式，所以這里填password.

這里我們看到，我們已成功模擬請(qǐng)求獲取了Token。大功告成，鑒權(quán)服務(wù)已驗(yàn)證可用，我們趕緊去發(fā)布部署吧。

第六步,鑒權(quán)服務(wù)發(fā)布部署。

.Net Core發(fā)布模式有三種：

1.框架依賴(lài)+可移植

2.框架依賴(lài)+運(yùn)行時(shí)環(huán)境（帶可執(zhí)行程序exe）

3.獨(dú)立部署

簡(jiǎn)單來(lái)說(shuō)，框架依賴(lài)模式發(fā)布的程序包，都需要部署環(huán)境自帶.net core等運(yùn)行環(huán)境；而獨(dú)立部署則不需要考慮，發(fā)布包已經(jīng)包含了運(yùn)行環(huán)境，直接部署即可。

下面本文以框架依賴(lài)+可移植發(fā)布，做簡(jiǎn)單介紹。

發(fā)布完成后，我們會(huì)在發(fā)布路徑中看到程序dll.我們找到發(fā)布路徑，通過(guò)CMD命令窗口：dotnet xxx.dll可直接啟動(dòng)。

如上，則表示啟動(dòng)成功。（如果其他發(fā)布模式，直接雙擊發(fā)布包中可執(zhí)行exe文件即可啟動(dòng)）

鑒權(quán)服務(wù)部署完成后，我們API接口如何使用呢，下面開(kāi)始正式介紹。

第一步：新建Web Api項(xiàng)目

添加Nuget程序包

第二步：配置啟動(dòng)類(lèi)

public void ConfigureServices(IServiceCollection services)
    {
      //注冊(cè)服務(wù)
      services.AddAuthentication("Bearer")
        .AddIdentityServerAuthentication(x =>
        {
          x.Authority = "http://localhost:5000";//鑒權(quán)服務(wù)地址
          x.RequireHttpsMetadata = false;
          x.ApiName = "api1";//鑒權(quán)范圍
        });
      services.AddControllers();
    }

    public void Configure(IApplicationBuilder app, IWebHostEnvironment env)
    {
      if (env.IsDevelopment())
      {
        app.UseDeveloperExceptionPage();
      }
      app.UseAuthentication();//添加鑒權(quán)認(rèn)證
      app.UseHttpsRedirection();
      app.UseRouting();
        app.UseAuthorization();
      app.UseEndpoints(endpoints =>
      {
        endpoints.MapControllers();
      }); 
    }

應(yīng)用程序默認(rèn)的端口號(hào)有兩種：1.http://localhost:5000 2.https://localhost:5001.為了避免端口號(hào)沖突被占用，我們可以在Program類(lèi)中修改應(yīng)用程序啟動(dòng)端口號(hào)。

public static IHostBuilder CreateHostBuilder(string[] args) =>
      Host.CreateDefaultBuilder(args)
      
        .ConfigureWebHostDefaults(webBuilder =>
        {
          webBuilder.UseUrls("http://*:5555");//設(shè)置啟動(dòng)端口號(hào)
          webBuilder.UseStartup<Startup>();
        });

第三步：創(chuàng)建API DEMO

[Route("api/[controller]")]
  [ApiController]
  public class TestController : ControllerBase
  {
    // GET: api/Test
    /// <summary>
    /// 方法加權(quán)
    /// </summary>
    /// <returns></returns>
    [Authorize]
    [HttpGet]
    public IEnumerable<string> Get()
    {
      return new string[] { "value1", "value2" };
    }

    /// <summary>
    /// 方法未加權(quán) 可直接訪(fǎng)問(wèn)
    /// </summary>
    /// <param name="id"></param>
    /// <returns></returns>
    // GET: api/Test/5
    [HttpGet("{id}", Name = "Get")]
    public string Get(int id)
    {
      return "value";
    }

    /// <summary>
    /// 開(kāi)放獲取token API 接口
    /// </summary>
    /// <returns></returns>
    [HttpGet("GetToken")]
    public async Task<string> GetToken()
    {
      var client = new HttpClient();
      var tokenResponse = await client.RequestPasswordTokenAsync(new PasswordTokenRequest
      {
        Address = "http://localhost:5000/connect/token",
        ClientId = "client",
        ClientSecret = "secret",
        Scope = "api1",
        UserName = "Admin",
        Password = "123456",
      });

      if (tokenResponse.IsError)
      {
        return tokenResponse.Error;
      }

      return tokenResponse.AccessToken;

    }
  }

1.接口方法上加上：

[Authorize]

相當(dāng)于對(duì)接口加權(quán)，只有被授權(quán)的用戶(hù)才能訪(fǎng)問(wèn)（即獲取token的用戶(hù)）。此時(shí)上文中接口api/Test由于被加權(quán)，請(qǐng)求時(shí)會(huì)報(bào)錯(cuò)；但是api/Test/1接口未加權(quán)，仍可正常請(qǐng)求。

那么我們?nèi)绾尾拍茉L(fǎng)問(wèn)被加權(quán)的接口呢？？？Go Next

2.我們這里開(kāi)放了獲取Token的接口GetToken(類(lèi)似于上文中通過(guò)PostMan獲取Token)

訪(fǎng)問(wèn)被加權(quán)的API接口,我們這里需要先請(qǐng)求獲取Token，然后請(qǐng)求加權(quán)接口時(shí)帶上token參數(shù)。

3.請(qǐng)求加權(quán)接口

請(qǐng)求加權(quán)接口時(shí)帶上Token，接口請(qǐng)求成功！

OK，關(guān)于如何快速開(kāi)發(fā)和調(diào)試基于IdentityServer4框架的API接口鑒權(quán)服務(wù)，至此我們已介紹完畢。

小弟不才，本文中有考慮不周全或錯(cuò)誤的地方，歡迎大家指正。

(如果有的同學(xué)想通過(guò)IIS部署API應(yīng)用程序，這里有個(gè)地方需要注意下，需要在IIS（功能視圖——模塊）中添加AspNetCoreModule模塊。具體原因本文就不在這里介紹了。)

到此這篇關(guān)于IdentityServer4實(shí)現(xiàn).Net Core API接口權(quán)限認(rèn)證(快速入門(mén))的文章就介紹到這了,更多相關(guān).Net Core API權(quán)限認(rèn)證內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

您可能感興趣的文章: