IdentityServer4 - ClientCredential
Client Credential Workflow(工作流)
这是一个比较基础的解决方案用IdentityServer保护Resource APIs,在这个工程中定义API和一个访问API的client客户端。Client客户端从IdentityServer获取access token用clientID和clientSecret获取API资源。
1、创建配置IdentityServer project
1)、定义Api Scope, api scope是IdentityServer想要保护的资源,demo采用"Code as configuration"的方式,也可以采用其他的方式,比如DB,Redis或者appsettings.json 等.
Code below:
public static IEnumerable<ApiScope> ApiScopes => new List<ApiScope> { new ApiScope("api1","My API") };
2)、定义Client, client是将来访问API的客户端
当前解决方案,client没有交互的user,所以会和IdentityServer通过所谓的client secret认证。
Code bellow:
public static IEnumerable<Client> Clients => new List<Client> { new Client { AllowedGrantTypes= { OidcConstants.GrantTypes.ClientCredentials }, ClientId="client", ClientSecrets = { new Secret("secret".ToSha256()) }, AllowedScopes ={"api1"} } };
你可以认为ClientId和ClientSecret 作为你application的登录名和密码,Client将你的application标记到Identity Server以至于知道是哪个application连接的IdentityServer。
3)、Configuring IdentityServer(配置Identity Server)
将IdentityServer中间件添加到Services容易中。
public void ConfigureServices(IServiceCollection services) { var builder = services.AddIdentityServer() .AddInMemoryApiScopes(Config.ApiScopes) .AddInMemoryClients(Config.Clients); builder.AddDeveloperSigningCredential(); }
配置在请求管道中使用IdentityServer中间件
public void Configure(IApplicationBuilder app, IWebHostEnvironment env) { if (env.IsDevelopment()) { app.UseDeveloperExceptionPage(); } app.UseIdentityServer(); }
OK,IdentityServer已经配置好了,启动IdentityServer , 在浏览器中访问discovery endpoint,将会显示如下内容:
Notes:可以在launchsettings.json中修改application的启动方式,当前Demo的配置如下:
{ "IdentityServer": { "commandName": "Project", "launchBrowser": true, "applicationUrl": "https://localhost:5001;http://localhost:5000", "environmentVariables": { "ASPNETCORE_ENVIRONMENT": "Development" } } }
Discovery Endpoint:
https://localhost:5001/.well-known/openid-configuration
Discovery Document Result:
Notes: 在IdentityServer第一次启动的时候会创建一个developer signing key:tempkey.jwk。
2、添加一个API application (Asp.NET Core API template)
配置API为受保护资源,将authentication services添加到DI(dependency injection),authentication middleware 添加到 request pipeline中,作用是:
- 验证token是颁发自受信任的issuer
- 验证token是有效的调用API。
public class Startup { public void ConfigureServices(IServiceCollection services) { services.AddControllers(); services.AddAuthentication("Bearer") .AddJwtBearer("Bearer", options => { options.Authority = "https://localhost:5001"; options.TokenValidationParameters = new TokenValidationParameters { ValidateAudience = false }; }); } public void Configure(IApplicationBuilder app) { app.UseRouting(); app.UseAuthentication(); app.UseAuthorization(); app.UseEndpoints(endpoints => { endpoints.MapControllers(); }); }
添加一个IdentityServer.Controler, 添加attribute [Authorize], 意思是只有验证才能访问当前controller,匿名不能访问:(这里的User代表是client application)
[Route("api/[controller]")] [ApiController] [Authorize] public class IdentityServerController : ControllerBase { [HttpGet] public IActionResult Get() { return new JsonResult(from c in User.Claims select new { c.Type, c.Value }); } }
浏览器直接访问,测试结果如下:401 UnAuthorization
3、添加一个Client用于测试:
新建一个Console应用程序,向IdentityServer发请求获取token,然后携带这个token发请求获取Resource API资源。
IdentityServer中的Token Endpoint实现了OAuth 2.0 协议,可以用原生的http 请求它,这里我们用Identity Mode 的client library,它封装了协议的交互的API,直接调用就行。
//discovery endpoint from metadata var client = new HttpClient(); var disco = await client.GetDiscoveryDocumentAsync("https://localhost:5001"); if (disco.IsError) { Console.WriteLine(disco.Error); return; }
用discovery document返回的信息向IdentityServer发请求获取token再去获取Resource API。
//Get access token var tokenResponse = await client.RequestClientCredentialsTokenAsync(new ClientCredentialsTokenRequest() { Address = disco.TokenEndpoint, ClientId = "client", ClientSecret = "secret", Scope = "api1" });
将token添加到Http authorization header中,请求Resource API
var apiClient = new HttpClient(); apiClient.SetBearerToken(tokenResponse.AccessToken); var response = await apiClient.GetAsync("https://localhost:6001/api/IdentityServer"); if (response.IsSuccessStatusCode) { var content = await response.Content.ReadAsStringAsync(); Console.WriteLine(JArray.Parse(content)); }
测试结果:
Notes: 现在程序默认是从IdentityServer请求的任何token信息都可以用来访问Resource API。因为Resource API只认证,但并没有检查Authorization scope。
下面我们加一些逻辑,验证访问Resource API的access token必须包含某些claims才可以,这里可以使用Authorization policy, 在Resource API中添加Authorization中间件:
services.AddAuthorization(options => { options.AddPolicy("ApiScope", policy => { policy.RequireAuthenticatedUser(); policy.RequireClaim("scope", "api1"); }); });
对于这个Policy可以应用到各层次:
- globally
- for all API endpoint
- for sepcific controller/action
通常建立作用于所有API endpoint在路由系统里:
app.UseEndpoints(endpoints => { endpoints.MapControllers() .RequireAuthorization("ApiScope"); });
OK, Client Credential GrantType 方式IdentityServer先说到这里。
Github源码