IdentityServer Topics(4)- 登录
用户必须进行登录,才能够让 IdentityServer 发出 Token
一.Cookie认证
使用 ASP.NET Core 的 Cookie 认证(传送门)
IdentityServer 注册了两个cookie处理程序(一个用于身份验证会话,另一个用于临时的外部cookie)。 它们默认使用,如果你想手动引用它们,您可以从IdentityServerConstants
类(DefaultCookieAuthenticationScheme
和ExternalCookieAuthenticationScheme
)获取它们的名称。
IdentityServer 只公开这些cookies的基本设置(过期和滑动),如果你需要更多的控制,你可以注册你自己的cookie处理程序。 当使用了 ASP.NET Core 的AddAuthentication
方法时,IdentityServer 会使用与AddAuthentication
添加的AuthenticationOptions
上的DefaultAuthenticateScheme
相匹配的 cookie 处理程序。
二.重写cookie处理程序配置
如果你想使用你自己的cookie身份验证处理程序,那么你必须自己配置它。 在DI中注册身份服务器(使用AddIdentityServer
)后,必须在ConfigureServices
中完成此操作。 例如:
services.AddIdentityServer()
.AddInMemoryClients(Clients.Get())
.AddInMemoryIdentityResources(Resources.GetIdentityResources())
.AddInMemoryApiResources(Resources.GetApiResources())
.AddDeveloperSigningCredential()
.AddTestUsers(TestUsers.Users);
services.AddAuthentication("MyCookie")
.AddCookie("MyCookie", options =>
{
options.ExpireTimeSpan = ...;
});
IdentityServer 内部使用自定义方案(通过常量
IdentityServerConstants.DefaultCookieAuthenticationScheme
)调用AddAuthentication
和AddCookie
,因此要覆盖它们,必须在AddIdentityServer
之后进行相同的调用。
三.登录用户界面和身份管理系统
IdentityServer 本身不提供任何用户界面或用户数据库。 这些都需要你自己实现或者使用其他实现。
如果您需要基本用户界面(登录,注销,同意和管理授权)的快速入门,则可以使用IdentityServer提供的的quickstart UI。
quickstart UI根据内存数据库对用户进行认证。 你想取代这些那么请使用你的真实用户存储。 IdentityServer 有配合 ASP.NET Identity 的示例。
四.登录工作流程
当 IdentityServer 在授权终结点(connect/token)收到请求,且用户没有通过认证时,用户将被重定向到配置的登录页面。 您必须通过设置UserInteraction
(默认为/ account / login)来通知IdentityServer您的登录页面的路径。 同时将会传递一个returnUrl参数,通知你的登录页面,一旦登录完成,用户应该被重定向到哪里。
注意通过returnUrl参数的开放重定向攻击。 你应该验证这个returnUrl指的是已知的位置。 请参阅API的交互服务来验证returnUrl参数(https://identityserver4.readthedocs.io/en/release/reference/interactionservice.html#refinteractionservice)。
五.登录上下文
在你的登录页面上,您可能需要有关请求上下文的信息,以便自定义登录体验(如客户端,提示参数,IdP提示或其他内容)。 这可以通过交互服务上的GetAuthorizationContextAsync
API获得(https://identityserver4.readthedocs.io/en/release/reference/interactionservice.html#refinteractionservice)。
六.发出一个cookie和身份信息单元(Claim)
在 ASP.NET Core 的HttpContext
上有与身份验证相关的扩展方法来发布身份验证cookie并签署用户。所使用的身份验证方案必须与您正在使用的cookie处理程序(请参阅上文)匹配。
当用户登录时,你必须至少发出一个sub
身份单元和一个name
身份单元。 IdentityServer还在HttpContext上提供了一些SignInAsync
扩展方法,来方便使用。
您还可以选择发出idp
身份信息单元(针对身份提供者名称,例如:QQ),amr
身份信息单元针对使用的身份验证方法)或者auth_time
身份信息单元(表示用户认证的认证时间)。 如果你不设置这些,IdentityServer将设置为默认值。
目前学习.NET Core 最好的教程 .NET Core 官方教程 ASP.NET Core 官方教程