NET 5 使用IdentityServer4 4.x

一.简介

官方文档https://identityserver4.readthedocs.io/en/latest/

IdentityServer4是一个框架，IdentityServer4是为ASP.NET CORE量身定制的实现了OpenId Connect和OAuth2.0协议的认证授权中间件。OpenId用于身份认证（Authentication） OAuth2.0 用于授权（Authorization） OpenId Connect = OIDC = (Identity, Authentication) + OAuth2.0。

IdentityServer4功能特性

Authentication as a Service：可以为你的应用（如网站、本地应用、移动端、服务）做集中式的登录逻辑和工作流控制。IdentityServer是完全实现了OpenID Connect协议标准
Single Sign-on / Sign-out：在多个应用程序类型上进行单点登录(和单点退出)。
Access Control for APIs：为不同类型的客户端，例如服务器到服务器、web应用程序、SPAs和本地/移动应用程序，发出api的访问令牌。
Federation Gateway：支持来自Azure Active Directory, Google, Facebook这些知名应用的身份认证，可以不必关心连接到这些应用的细节就可以保护你的应用。
Focus on Customization：最重要的是identityserver可以根据需求自行开发来适应应用程序的变化。identityserver不是一个框架、也不是一个盒装产品或一个saas系统，您可以编写代码来适应各种场景。

IdentityServer是将规范兼容的OpenID Connect和OAuth 2.0端点添加到任意ASP.NET Core应用程序的中间件。通常，您构建（或重新使用）包含登录和注销页面的应用程序，IdentityServer中间件会向其添加必要的协议头，以便客户端应用程序可以与其对话使用这些标准协议。

IdentityServer4 默认支持两种类型的 Token，一种是 Reference Token，一种是 JWT Token 。前者的特点是 Token 的有效与否是由 Token 颁发服务集中化控制的，颁发的时候会持久化 Token，然后每次验证都需要将 Token 传递到颁发服务进行验证，是一种中心化的比较传统的验证方式。JWT Token 的特点与前者相反，每个资源服务不需要每次都要都去颁发服务进行验证 Token 的有效性验证，该 Token 由三部分组成，其中最后一部分包含了一个签名，是在颁发的时候采用非对称加密算法（最新的JWT Token）进行数据签名的，保证了 Token 的不可篡改性，保证了安全，与颁发服务的交互，仅仅是获取公钥用于验证签名，且该公钥获取以后可以自己缓存，持续使用，不用再去交互获得，除非Token包含的 keyid 对应的公钥没被缓存（新的），就会再次向颁发服务获取。流程图：

回到顶部

二.identity server4 五种授权模式

下面介绍4种模式安全性从低到高

客户端模式

客户端模式只对客户端进行授权，不涉及到用户信息。如果你的api需要提供到第三方应用，第三方应用自己做用户授权，不需要用到你的用户资源，就可以用客户端模式，只对客户端进行授权访问api资源。

这是一种最简单的模式，只要client请求，我们就将AccessToken发送给它。这种模式是最方便但最不安全的模式。因此这就要求我们对client完全的信任，而client本身也是安全的

密码模式

需要客户端提供用户名和密码，密码模式相较于客户端凭证模式。通过User的用户名和密码向Identity Server申请访问令牌。

如果你高度信任某个应用，RFC 6749 也允许用户把用户名和密码，直接告诉该应用

（授权码）隐藏模式

密码模式将用户的密码暴露给了客户端，这无疑是不安全的，隐藏模式可以解决这个问题，由用户自己在IdentityServer服务器进行登录验证，客户端不需要知道用户的密码。

有些 Web 应用是前后端分离的纯前端应用，没有后端。这时就不能用上面的授权码模式了，必须将令牌储存在前端。

这种方式没有授权码这个中间步骤，所以称为（授权码）"隐藏式"（implicit）。

一般用的这个，token会直接返回到访问的地方，适用于前后端分离的项目(前后端分离后，只能把token保存到前端了，为他只有前端没有服务器)

授权码模式

授权码模式隐藏码模式最大不同是授权码模式不直接返回token，而是先返回一个授权码，然后再根据这个授权码去请求token。这比隐藏模式更为安全。从应用场景上来区分的话，隐藏模式适应于全前端的应用，授权码模式适用于有后端的应用，因为客户端根据授权码去请求token时是需要把客户端密码转进来的，为了避免客户端密码被暴露，所以请求token这个过程需要放在后台

混合模式（Hybrid），就是基于隐藏模式与授权码模式的结合

OpenIdConnect是OAuth2.0与OpenId的结合，并加入了一个重要的概念：id_token。我们之前所讲的token是用于访问授权的access_token，而id_token是用于身份验证的，作用完全不同，这一点要区分开来。access_token是OAth2.0特性，而id_token是OpenIdConnect方案为改善OAuth2.0方案在身份验证方面的薄弱而加入的特性。

客户端获取Id_token与隐藏模式和授权码模式一样，都是通过redirect_url参数返回的，所以前面的四种模式中的客户端模式与密码模式不支持获取id_token，而授权码模式受限于流程，必需先取得Code才能取到token，所以不能直接支持获取id_token，如果需求是使用授权码模式，同时又需要id_token，OpenIdConnect支持第五种模式:混合模式（Hybrid），就是基于隐藏模式与授权码模式的结合

回到顶部