IdentityServer使用ssl证书生成token

前言

如果在开发环境中使用临时证书,在Identity服务重启后之前所有token都会验签失败,所以在开发环境中一般使用固定的证书来保证Identity重启或负载的时候token能够验签通过。

RSA加密

RSA是一种公钥密码算法,和普通的算法不一样,普通的加密一般使用密钥生成规固定密文,前端如果需要验证密文需要和服务端共享密钥。如果密钥泄露很容易就能伪造密文,RSA加密方式比较特殊,它有两个密钥,公钥(publickey),私钥(privatekey),使用私钥来生成签名,公钥来验证签名,这样私钥只有服务端拥有,客户端可以使用公钥进行验签。

生成证书

mac os下使用终端执行以下两条命令

openssl req -newkey rsa:2048 -nodes -keyout idsrv4.key -x509 -days 365 -out idsrv4.cer

openssl pkcs12 -export -in idsrv4.cer -inkey idsrv4.key -out idsrv4.pfx

第二条命令需要输入导出密码需要记录下来。 成功后结构如下图

• pfx:数字证书
• cer:验签公钥
• key:签名私钥

使用证书

把证书导入Identity项目目录中。 (如果需要在本地debug需要在debug目录下也放入一份)

在Appsetting.json 配置文件中添加配置

密码就是之前生成设置的导出密码。

在Starup.cs中ConfigureServices方法中配置

使用密钥生成token

在jwt.io 中使用公钥验证一下签名是否通过。

总结

在测试环境中一般多使用临时证书来生成token，但是在生成环境中应该使用固定的证书去生成token，保证token在时效性内不会失效。