IdentityServer Topics（3）- 定义客户端

客户端指可以从你的 identityserver 请求令牌的应用程序。

细节可能有所不同，但是客户端通常有以下设置

一个唯一的客户端ID
一个密钥（非必须）
允许与令牌服务的交互（称为授权类型）
身份或访问令牌被发送到的url（称为重定向URI）
允许客户端访问的Scope列表（API资源）

在运行时，客户端通过IClientStore的实现来检索。这允许从配置文件或数据库的任意数据源加载它们。对于本文档，我们将使用客户端存储的内存存储版本。您可以通过AddInMemoryClients扩展方法在ConfigureServices中配置内存存储。

一.定义Server到Server的客户端#

在这种情况下，没有交互式用户 - 服务（也称为客户端）想要与API（aka范围）进行通信：

public class Clients
{
    public static IEnumerable<Client> Get()
    {
        return new List<Client>
        {
            new Client
            {
                ClientId = "service.client",
                ClientSecrets = { new Secret("secret".Sha256()) },

                AllowedGrantTypes = GrantTypes.ClientCredentials,
                AllowedScopes = { "api1", "api2.read_only" }
            }
        };
    }
}

二.定义 avaScript客户端（例如SPA）进行用户认证和授权访问和API#

这个客户端使用implicit flow来从JavaScript请求身份和访问令牌：

var jsClient = new Client
{
    ClientId = "js",
    ClientName = "JavaScript Client",
    ClientUri = "http://identityserver.io",

    AllowedGrantTypes = GrantTypes.Implicit,
    AllowAccessTokensViaBrowser = true,

    RedirectUris =           { "http://localhost:7017/index.html" },
    PostLogoutRedirectUris = { "http://localhost:7017/index.html" },
    AllowedCorsOrigins =     { "http://localhost:7017" },

    AllowedScopes =
    {
        IdentityServerConstants.StandardScopes.OpenId,
        IdentityServerConstants.StandardScopes.Profile,
        IdentityServerConstants.StandardScopes.Email,

        "api1", "api2.read_only"
    }
};

三.定义服务器端Web应用程序（例如MVC）以进行使用验证和授权的API访问#

交互式服务器端（或本地桌面/移动）应用程序使用混合流程（hybrid flow）。这个流程为您提供了最好的安全性，因为访问令牌仅通过反向通道传输（并允许您访问刷新令牌）：

var mvcClient = new Client
{
    ClientId = "mvc",
    ClientName = "MVC Client",
    ClientUri = "http://identityserver.io",

    AllowedGrantTypes = GrantTypes.Hybrid,
    AllowOfflineAccess = true,
    ClientSecrets = { new Secret("secret".Sha256()) },

    RedirectUris =           { "http://localhost:21402/signin-oidc" },
    PostLogoutRedirectUris = { "http://localhost:21402/" },
    FrontChannelLogoutUri =  "http://localhost:21402/signout-oidc",

    AllowedScopes =
    {
        IdentityServerConstants.StandardScopes.OpenId,
        IdentityServerConstants.StandardScopes.Profile,
        IdentityServerConstants.StandardScopes.Email,

        "api1", "api2.read_only"
    },
};

作者：晓晨Master(李志强)

出处：https://www.cnblogs.com/stulzq/p/8144247.html

版权：本作品采用「署名-非商业性使用-相同方式共享 4.0 国际」许可协议进行许可。

posted @ 2017-12-29 14:11 晓晨Master 阅读(5749) 评论(0) 编辑收藏举报

刷新页面返回顶部

登录后才能查看或发表评论，立即登录或者逛逛博客园首页

历史上的今天：
2015-12-29 Sql Server利用游标批量清空数据表

公告

昵称：晓晨Master
园龄： 10年6个月
粉丝： 3165
关注： 43

+加关注

2025年3月

日

一

二

三

四

五

六

Loading

晓晨Master

自律给我自由

IdentityServer Topics（3）- 定义客户端

一.定义Server到Server的客户端#

二.定义 avaScript客户端（例如SPA）进行用户认证和授权访问和API#

三.定义服务器端Web应用程序（例如MVC）以进行使用验证和授权的API访问#

公告

搜索

最新随笔

随笔分类

随笔档案

阅读排行榜

推荐排行榜