IdentityServer4客户端如何获取自定义声明,了解一下?
前言
久违了各位,之前录制过IdentityServer4的基础视频(https://space.bilibili.com/319652230/#/),有兴趣了解的童鞋可以看一下,只不过未发表成博客。我们使用IdentityServer4结和ASP.NET Identity来进行用户的认证和授权管理,在实际项目中我们都会继承ASP.NET Core Identity中IdentityUser类即用户实体,并添加我们自定义的扩展属性,在客户端(Clients)中我们只能拿到用户Id,但是若我们要获取用户中其他重要的属性,此时相对于IdentityServer4而言则需要自定义声明,那么在IdentityServer4中如何添加自定义声明并在客户端中能正确获取到呢?本文详细讲解一下,对于IdentityServer4我也是初学者,仅仅止于知道和使用而已,若有错误的地方,还请大佬指正。
IdentityServer4添加自定义声明(方式一)
首先我们继承自IdentityUser类并添加额外的属性比如部门Id,如下:
public class OnLineBookIdentityUser : IdentityUser { public string DepartmentId { get; set; } }
接下来我们需要将部门Id通过IdentityServer4添加到声明中,在IdentityServer4中添加自定义声明我们需要实现IProfileService接口,该接口有如下两个方法。
我们实现上述两个方法,在第一个方法中参数也就是用户基本信息上下文中拿到用户Id即Subject,然后我们定义用户中的部门Id属性为idr,并将用户中的部门Id属性映射到声明的idr中,最终实现如下:
public class ProfileService : IProfileService { protected UserManager<OnLineBookIdentityUser> _userManager; public ProfileService(UserManager<OnLineBookIdentityUser> userManager) { _userManager = userManager; } public Task GetProfileDataAsync(ProfileDataRequestContext context) { var user = _userManager.GetUserAsync(context.Subject).Result; var claims = new List<Claim> { new Claim("idr", user.DepartmentId), }; context.IssuedClaims.AddRange(claims); return Task.FromResult(0); } public Task IsActiveAsync(IsActiveContext context) { var user = _userManager.GetUserAsync(context.Subject).Result; context.IsActive = true; return Task.FromResult(0); } }
接下来在注入IdentityServer4时,添加我们自定义实现的ProfileService,更多基础请参考IdentityServer4官网以及我所录制的IdentityServer4基础视频。
//注入IdentityServer4使用AspNetIdentity services.AddIdentityServer(options => { options.Authentication.CookieLifetime = TimeSpan.FromMinutes(1); }) .AddDeveloperSigningCredential() .AddAspNetIdentity<OnLineBookIdentityUser>() .... .AddProfileService<ProfileService>();
晓晨姐姐在他发表的博客文章(http://www.cnblogs.com/stulzq/p/8726002.html)中说必须还要实现IResourceOwnerPasswordValidator接口,那么在客户端获取到自定义声明应该是通过调用接口的方式获取用户自定义声明(不知是否理解正确或者说通过客户端中User中Principal获取到呢?)这里我们并未实现上述IResourceOwnerPasswordValidator接口,我们看看在客户端是否能拿到上述我们声明的idr呢?在客户端我们定义如下控制器,访问需要进行授权,并获取我们添加的自定义声明idr,如下:
[Route("[controller]"), Authorize] public class OrderController : Controller { private readonly IOrderService _orderService; public OrderController(IOrderService orderService) { _orderService = orderService; } [HttpGet("index")] public IActionResult Index() { var idr = User.FindFirst("idr")?.Value; return View(nameof(Index), idr); } }
并在上述index视图中我们答应自定义声明idr所对应的部门的值,如下:
@model string @if (Model is null) { <h1>idr is null</h1> } else { <h1>@Model.ToString()</h1> }
接下来我们通过动态gif来演示下,注意如下视频http://localhost:5000/为IdentityServer4认证、授权服务器端。而http://localhost:5003/为客户端。
上述我们可以看到在登录之后重定向到客户端,我们拿到ack即AccessToken里面有自定义声明idr,但是当我们访问Order/Index并未获取到idr,这是为何,这是因为我们通过如下即ClaimPrincipal去获取idr时,实际上是获取的id_token里面的用户信息,而不是AccessToken,而id_token我们看到没有idr,所以才出现没有获取到的情况。
var idr = User.FindFirst("idr")?.Value;
为了解决这个问题,我们可以在通过IdentityServer4创建的Clients表中所对应的调用客户端中的如下列设置为True即可。
接下来我们再来演示一下,此时我们将看到解析通过id_token将返回idr,并能在客户端读取到idr。
IdentityServer4添加自定义声明(方式二)
除了上述方式通过实现ProfileService接口外,我们还可以通过实现自定义UserClaimsPrincipalFactory工厂类来实现,复写CreateAsync方法来创建自定义声明如下:
public class CustomizeUserClaimsFactory<TRole> : UserClaimsPrincipalFactory<OnLineBookIdentityUser, TRole> where TRole : class { public CustomizeUserClaimsFactory(UserManager<OnLineBookIdentityUser> userManager, RoleManager<TRole> roleManager, IOptions<IdentityOptions> optionsAccessor) : base(userManager, roleManager, optionsAccessor) { } public async override Task<ClaimsPrincipal> CreateAsync(OnLineBookIdentityUser user) { var cliamsPrincipal = await base.CreateAsync(user); var identity = cliamsPrincipal.Identities.First(); if (!identity.HasClaim(x => x.Type == "idr")) { identity.AddClaim(new Claim("idr", user.DepartmentId)); } return cliamsPrincipal; } }
然后通过创建扩展方法将上述自定义用户声明工厂进行注入,如下:
public static IdentityBuilder AddCustomizeUserClaimsPrincipalFactory(this IdentityBuilder builder) { var interfaceType = typeof(IUserClaimsPrincipalFactory<>); interfaceType = interfaceType.MakeGenericType(builder.UserType); var classType = typeof(CustomizeUserClaimsFactory<>); classType = classType.MakeGenericType(builder.RoleType); builder.Services.AddScoped(interfaceType, classType); return builder; }
最后在注入Identity时,添加上述自定义声明工厂,如下:
services.AddIdentity<OnLineBookIdentityUser, IdentityRole>() .AddEntityFrameworkStores<OnLineBookDbContext>() .AddDefaultTokenProviders() .AddCustomizeUserClaimsPrincipalFactory();
总结
本节内容需要有一定IdentityServer4基础,如若不太了解请参考官方文档,同时针对如上在客户端如何获取自定义声明,重点在于在对应客户端表中设置AlwaysIncludeInIdToken为True才好使,并未去深究设置该列为True所产生的副作用,感谢阅读,若有不同见解,望留下您的评论。
为了方便大家在移动端也能看到我分享的博文,现已注册个人公众号,扫描上方左边二维码即可,欢迎大家关注,有时间会及时分享相关技术博文。
感谢花时间阅读此篇文章,如果您觉得这篇文章你学到了东西也是为了犒劳下博主的码字不易不妨打赏一下吧,让楼主能喝上一杯咖啡,在此谢过了!
如果您觉得阅读本文对您有帮助,请点一下“推荐”按钮,您的“推荐”将是我最大的写作动力!
本文版权归作者和博客园共有,来源网址:http://www.cnblogs.com/CreateMyself)/欢迎各位转载,但是未经作者本人同意,转载文章之后必须在文章页面明显位置给出作者和原文连接,否则保留追究法律责任的权利。
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· Linux系列:如何用 C#调用 C方法造成内存泄露
· AI与.NET技术实操系列(二):开始使用ML.NET
· 记一次.NET内存居高不下排查解决与启示
· 探究高空视频全景AR技术的实现原理
· 理解Rust引用及其生命周期标识(上)
· 阿里最新开源QwQ-32B,效果媲美deepseek-r1满血版,部署成本又又又降低了!
· 单线程的Redis速度为什么快?
· SQL Server 2025 AI相关能力初探
· 展开说说关于C#中ORM框架的用法!
· AI编程工具终极对决:字节Trae VS Cursor,谁才是开发者新宠?
2017-08-06 EntityFramework Core问题处理集锦(一)
2015-08-06 ABZ理论