identityServer4 中的概念(Scope,claim)
在IdentityServer中好多地方出现这几个词,这单词的解释也有好多大神解释过:
chaim:
ASP.NET Core 之 Identity 入门(一),这个是asp.net identity中chaim的解释,虽然不是identityServer,但解释相当精准。
IdentityServer4实战 - 基于角色的权限控制及Claim详解 ,这是是Claim 在identityServer中的解释。
首先查看identityServer中chaim出现的地方:
Clientclaims、Identityclaims、apiclaims和APIScopeclaims,说明claim与这些东东都有关系,按照上面第一篇博客的说明,这个claim是 “证件单元”,这个apiclaims就解释为api的需要的证件单元,也不是太合适;按照第二篇博客说的claim是“用户信息单元”,只有解释用户的时候可以这么说。
查看identityServer源码,claim包含type和value两个property,在identity、apiresource和apiscope中都有(UserClaims)这个属性,官方解释:List of associated user claim types that should be included in the access token.就是需要在access token中应该包含的一系列相关claim 类型,如果access token中含有这个claim可以访问这个resource,另外APIScopeclaims中的claim也会附加到这个api资源上。
Scopes:
英文翻译:范围
Scope出现在两个地方:clientScope和apiscope。
Scope 在ids3中的解释:IdentityServer.Core.Models.Scope
类是对 OpenID Connect 或 OAuth2 scope 的建模。这个解释很合理;
在token中scope是一个claim,这个很重要:scope也是一个claim;
apiscope,一个api至少有一个scope,下面的两个定义是一个意思:
1 new ApiResource("api1", "Some API 1") 2 //与下面的意思相同 3 4 new ApiResource 5 { 6 Name = "api1", 7 DisplayName = "Some API 1", 8 9 Scopes = 10 { 11 new Scope() 12 { 13 Name = "api1", 14 DisplayName = "Some API 1" 15 } 16 } 17 }
一个api也可以有多个scope,例如:
1 new ApiResource 2 { 3 Name = "api2", 4 5 Scopes = 6 { 7 new Scope() 8 { 9 Name = "api2.full_access", 10 DisplayName = "Full access to API 2" 11 }, 12 new Scope 13 { 14 Name = "api2.read_only", 15 DisplayName = "Read only access to API 2" 16 } 17 } 18 }