快捷導(dǎo)航

IdentityServer4 QuckStart 授權(quán)與自定義Claims的問(wèn)題

更新時(shí)間：2020年04月20日 10:25:32 作者：返回主頁(yè)波多爾斯基

這篇文章主要介紹了IdentityServer4 QuckStart 授權(quán)與自定義Claims的問(wèn)題，本文給大家介紹的非常詳細(xì)，對(duì)大家的學(xué)習(xí)或工作具有一定的參考借鑒價(jià)值,需要的朋友可以參考下

最近在折騰IdentityServer4，為了簡(jiǎn)單，直接使用了官方給的QuickStart示例項(xiàng)目作為基礎(chǔ)進(jìn)行搭建。有一說(shuō)一，為了保護(hù)一個(gè)API，感覺(jué)花費(fèi)的時(shí)間比寫一個(gè)API還要多。

本文基于ASP.NET CORE 3.1, IdentityServer4 3.1.3。代碼皆為關(guān)鍵代碼，貼全了太多了。

好不容易跑起來(lái)了，最終的任務(wù)要落實(shí)到授權(quán)的工作上來(lái)。在API中使用Authorize用來(lái)限制用戶的訪問(wèn)。

[Route("api/[controller]")]
[Authorize(Roles = "Administrator")]
[ApiController]
public class UserInfoController : ControllerBase
{
 /// <summary>
 /// 無(wú)參GET請(qǐng)求
 /// </summary>
 /// <returns></returns>
 [HttpGet()]
 [ProducesResponseType(typeof(ReturnData<IEnumerable<UserInfo>>), Status200OK)]
 public async Task<ActionResult> Get()
 {
 var info = new Info<UserInfo>();
 return Ok(new ReturnData<IEnumerable<UserInfo>>(await info.Get()));
 }

然而在使用的時(shí)候，雖然正確取得授權(quán)，但是卻無(wú)法正常訪問(wèn)API，一直提示401沒(méi)有授權(quán)錯(cuò)誤。仔細(xì)檢查，發(fā)現(xiàn)IdentityServer4返回的內(nèi)容并沒(méi)有返回role的JwtClaimTypes，沒(méi)有它，Authorize無(wú)法正常工作。

{
 "nbf": 1587301921,
 "exp": 1587305521,
 "iss": "http://localhost:5000",
 "aud": "MonitoringSystemApi",
 "client_id": "webClient",
 "sub": "c6c18d4d-c28e-4de5-86dd-779121216204",
 "auth_time": 1587301921,
 "idp": "local",
 "scope": [
 "roles",
 "MonitoringSystemApi",
 "offline_access"
 ],
 "amr": [
 "pwd"
 ]
}

實(shí)現(xiàn)

查看Config.cs，IdentityServer4默認(rèn)只返回兩種IdentityResource：openid和profile。按照官方的說(shuō)法，這個(gè)東西定義的內(nèi)容會(huì)返回到用戶的token。參考。那么就果斷給它安排。

public static IEnumerable<IdentityResource> Ids =>
new List<IdentityResource>
{
 new IdentityResources.OpenId(),
 new IdentityResources.Profile(),
 new IdentityResource ("roles", new List<string> { JwtClaimTypes.Role }){ Required = true}
};

public static IEnumerable<Client> Clients =>
 new List<Client>
 {
 new Client
 {
  ClientId = "webClient",
  ClientSecrets = { new Secret("secret".Sha256()) },
  AllowOfflineAccess = true,
  AllowedGrantTypes = GrantTypes.ResourceOwnerPassword,
  // scopes that client has access to
  AllowedScopes = {
  "roles",

  "MonitoringSystemApi" }
 },

執(zhí)行之前，需要確保數(shù)據(jù)庫(kù)中的用戶數(shù)據(jù)，已經(jīng)包含role的Claim。

//添加用戶代碼
bob = new ApplicationUser
{
 UserName = "bob"
};
var result = userMgr.CreateAsync(bob, "Pass123$").Result;
if (!result.Succeeded)
{
 throw new Exception(result.Errors.First().Description);
}
result = userMgr.AddClaimsAsync(bob, new Claim[]{
new Claim(JwtClaimTypes.Role, "Administrator"),
new Claim(JwtClaimTypes.Name, "Bob Smith"),

運(yùn)行程序，返回值依舊沒(méi)有任何變化，很挫敗，只能繼續(xù)折騰。
有研究通過(guò)實(shí)現(xiàn)IProfileService達(dá)到自定義Cliams。文章寫的很詳細(xì)，我這就不重復(fù)了，我實(shí)際試驗(yàn)過(guò)，可以成功。

但是文章末尾的注意，很重要。

“那么, 通過(guò)profileservice頒發(fā)的claims, 任意clients都能拿到”

說(shuō)明這個(gè)優(yōu)先級(jí)是非常高的，可以覆蓋所有的行為，當(dāng)然我們可以在IProfileService的實(shí)現(xiàn)上對(duì)權(quán)限進(jìn)行進(jìn)一步的設(shè)置，不過(guò)還是挺麻煩的。參考實(shí)現(xiàn)，參考官方

作為懶人，必然不想再費(fèi)勁去折騰權(quán)限的問(wèn)題，那么是否有簡(jiǎn)單點(diǎn)的辦法呢？

網(wǎng)上有一些問(wèn)答說(shuō)到了可以通過(guò)設(shè)置Scopes來(lái)達(dá)到目的。不過(guò)過(guò)于久遠(yuǎn)，IdentityServer4已經(jīng)沒(méi)有這個(gè)獨(dú)立的類了，說(shuō)是已經(jīng)被ApiResource取代了。

直覺(jué)上這個(gè)東西應(yīng)該是指示要保護(hù)的API的相關(guān)內(nèi)容的，好像和這個(gè)沒(méi)啥關(guān)系，不過(guò)也只能死馬當(dāng)活馬醫(yī)了。修改config.cs，最終如下內(nèi)容：

public static IEnumerable<ApiResource> Apis =>
new List<ApiResource>
{
 new ApiResource("pls", new[]{ "role"}),
};

public static IEnumerable<Client> Clients =>
new List<Client>
{
new Client
{
 ClientId = "webClient",
 ClientSecrets = { new Secret("secret".Sha256()) },
 AllowOfflineAccess = true,
 AllowedGrantTypes = GrantTypes.ResourceOwnerPassword,
 // scopes that client has access to
 AllowedScopes = {
 "pls"
 }
},

返回結(jié)果如下：

{
 "nbf": 1587301799,
 "exp": 1587305399,
 "iss": "http://localhost:5000",
 "aud": "pls",
 "client_id": "webClient",
 "sub": "c6c18d4d-c28e-4de5-86dd-779121216204",
 "auth_time": 1587301799,
 "idp": "local",
 "role": "Administrator",
 "scope": [
 "pls",
 "offline_access"
 ],
 "amr": [
 "pwd"
 ]
}

終于看見(jiàn)心心念念的自定義Claim（role），可以去訪問(wèn)API了。

注意，在Client中也有個(gè)Claims，添加了role并且設(shè)置AlwaysSendClientClaims和AlwaysIncludeUserClaimsInIdToken之后，會(huì)在token中添加client_roie字段，這個(gè)是沒(méi)辦法用與授權(quán)的，可以理解為IdentityServer4直接指定了Client角色，并不是Identity中的角色概念。

后記

回過(guò)頭來(lái)仔細(xì)看官方的文檔，ApiResource中的UserClaims就是用來(lái)干這個(gè)的，折騰了半天，不如當(dāng)時(shí)仔細(xì)看看文檔了。

到此這篇關(guān)于IdentityServer4 QuckStart 授權(quán)與自定義Claims的文章就介紹到這了,更多相關(guān)IdentityServer4 QuckStart Claims內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

您可能感興趣的文章: