IdentityServer Topics（4）- 登录

用户必须进行登录，才能够让 IdentityServer 发出 Token

一.Cookie认证#

使用 ASP.NET Core 的 Cookie 认证（传送门）

IdentityServer 注册了两个cookie处理程序（一个用于身份验证会话，另一个用于临时的外部cookie）。 它们默认使用，如果你想手动引用它们，您可以从IdentityServerConstants类（DefaultCookieAuthenticationScheme和ExternalCookieAuthenticationScheme）获取它们的名称。

IdentityServer 只公开这些cookies的基本设置（过期和滑动），如果你需要更多的控制，你可以注册你自己的cookie处理程序。 当使用了 ASP.NET Core 的AddAuthentication方法时，IdentityServer 会使用与AddAuthentication添加的AuthenticationOptions上的DefaultAuthenticateScheme相匹配的 cookie 处理程序。

二.重写cookie处理程序配置#

如果你想使用你自己的cookie身份验证处理程序，那么你必须自己配置它。 在DI中注册身份服务器（使用AddIdentityServer）后，必须在ConfigureServices中完成此操作。 例如：

services.AddIdentityServer()
    .AddInMemoryClients(Clients.Get())
    .AddInMemoryIdentityResources(Resources.GetIdentityResources())
    .AddInMemoryApiResources(Resources.GetApiResources())
    .AddDeveloperSigningCredential()
    .AddTestUsers(TestUsers.Users);

services.AddAuthentication("MyCookie")
    .AddCookie("MyCookie", options =>
    {
        options.ExpireTimeSpan = ...;
    });

IdentityServer 内部使用自定义方案（通过常量IdentityServerConstants.DefaultCookieAuthenticationScheme）调用AddAuthentication和AddCookie，因此要覆盖它们，必须在AddIdentityServer之后进行相同的调用。

三.登录用户界面和身份管理系统#

IdentityServer 本身不提供任何用户界面或用户数据库。 这些都需要你自己实现或者使用其他实现。

如果您需要基本用户界面（登录，注销，同意和管理授权）的快速入门，则可以使用IdentityServer提供的的quickstart UI。

quickstart UI根据内存数据库对用户进行认证。 你想取代这些那么请使用你的真实用户存储。 IdentityServer 有配合 ASP.NET Identity 的示例。

四.登录工作流程#

当 IdentityServer 在授权终结点（connect/token）收到请求，且用户没有通过认证时，用户将被重定向到配置的登录页面。 您必须通过设置UserInteraction（默认为/ account / login）来通知IdentityServer您的登录页面的路径。 同时将会传递一个returnUrl参数，通知你的登录页面，一旦登录完成，用户应该被重定向到哪里。

注意通过returnUrl参数的开放重定向攻击。 你应该验证这个returnUrl指的是已知的位置。 请参阅API的交互服务来验证returnUrl参数（https://identityserver4.readthedocs.io/en/release/reference/interactionservice.html#refinteractionservice）。

五.登录上下文#

在你的登录页面上，您可能需要有关请求上下文的信息，以便自定义登录体验（如客户端，提示参数，IdP提示或其他内容）。 这可以通过交互服务上的GetAuthorizationContextAsync API获得(https://identityserver4.readthedocs.io/en/release/reference/interactionservice.html#refinteractionservice)。

六.发出一个cookie和身份信息单元（Claim）#

在 ASP.NET Core 的HttpContext上有与身份验证相关的扩展方法来发布身份验证cookie并签署用户。所使用的身份验证方案必须与您正在使用的cookie处理程序（请参阅上文）匹配。

当用户登录时，你必须至少发出一个sub身份单元和一个name身份单元。 IdentityServer还在HttpContext上提供了一些SignInAsync扩展方法，来方便使用。

您还可以选择发出idp身份信息单元（针对身份提供者名称，例如：QQ），amr身份信息单元针对使用的身份验证方法）或者auth_time 身份信息单元（表示用户认证的认证时间）。 如果你不设置这些，IdentityServer将设置为默认值。