本篇文章是基于ASP.NET CORE 5.0以及IdentityServer4的IdentityServer搭建,为什么要从零搭建呢?IdentityServer4本身就有很多模板可以直接生成一个可以运行的验证服务程序,是因为在真实开发过程中很难直接用生成的模板来进行开发,其次是通过生成的方式开发者本身可能会对某些技术细节有所忽略。
本文从以下几个方面来完成IdentityServer项目搭建:
- 创建一个空的Asp.net Core 5.0项目
- 添加IdentityServer4
- IdentityServer4数据持久化
- 配置IdentityServer4证书
- 创建一个基于Jwt身份验证的WebApi项目
- 小结
创建一个空的Asp.net Core 5.0项目
通过VS创建一个空的Asp.net core 5.0项目:
注:此处选择了Docker支持,需要安装Docker Desktop,另外第一次通过Docker调试应用程序需要下载相应的Docker Image和VS的调试环境,如果镜像文件下载慢,那么可以变更docker的注册镜像:blog.csdn.net/zhangqingmu…,如果VS调试环境下载慢可参考blog.csdn.net/lindexi_gd/…手动下载。
项目启动后看到以下结果:
添加IdentityServer4组件
IdentityServer4是一组中间件,它实现了OpenID Connect和Oauth2.0协议,来提供身份验证以及授权服务,添加IdentityServer4仅需要安装IdentityServer4组件,然后对相关服务和中间件进行配置即可:
安装完成后通过AddIdentityServer方法将相关的服务注册到容器中,同时这里返回一个builder用于继续构建IdentityServer服务,如存储、缓存、加密相关的密钥等等;
接着将IdentityServer中间件添加到Asp.net core的http请求管道中:
注:在添加中间件的时候需要注意IdentityServer中间件的放置顺序,另外在调用UseIdentityServer这个方法中还自动添加了身份验证的中间件。
IdentityServer4数据持久化
按理来说现在已经可以运行项目了,但是运行的时候出现了无法解析IClientStore类型错误:
这个问题的原因在于,IdentityServer4在进行授权时实际上是依赖一系列数据的,这些数据包括Client、Resource、Scope等,所以为了保证授权相关操作能够完成,需要配置相关数据的存储服务,IdentityServer4默认提供了测试基于内存的数据存储,但一般只是用于测试目的:
关于数据持久化,在.net技术栈中可以想到的就是Entity Framework,同时IdentityServer4提供了名为:IdentityServer4.EntityFramework的包,它包含了相关的实体类型(IdentityServer4.EntityFramework.Storage)以及EF的DbContext。所以引入IdentityServer4.EntityFramework包就可以实现基于EF的数据持久化,另外也可以自己实现。
上图中可以看到IdentityServer4关于EF的包有2个,但是实际上安装IdentityServer4.EntityFramework就包含Storage这个包了:
安装完成之后,我们可以在IdentityServer4.EntityFramework.Storage包中找到以下两个DbContext类型:
ConfigurationDbContext :
PersistedGrantDbContext :
为了EF能够正常工作需要根据数据库类型安装相应的EF数据库提供器(本例使用的是Mariadb):
然后就可以对IdentityServer的存储进行配置了:
以上主要是对数据库链接字符串、数据库版本、字符集以及数据库迁移程序集进行配置,需要注意的是在对数据库进行迁移的时候默认使用DbContext所在的程序集,而IdentityServer4提供的DbContext位于IdentityServer4.EntityFramework.Storage包里面,所以为了能够确保迁移文件正常生成,所以需要将Startup所在的程序集设为迁移程序集(注:更适合的方式是专门创建一个数据库迁移项目来作为迁移程序集,这样数据库迁移的相关内容可以单独维护)。
另外还需要注意的是数据库链接字符串,在开发时可能数据库安装在本地可以使用127.0.0.1,但是如果在dorcker中调试的话127.0.0.1无法链接到数据库。
完成配置后即可将数据库结构迁移到数据库中,首先需要安装EF的工具:
工具描述,相关命令及参数可参考文档docs.microsoft.com/en-us/ef/co…:
执行命令(参数o表示迁移文件输出路径,因为存在多个DbContext以及需要多个数据迁移,所以分开存储):
Add-Migration initPersistedGrantDb -c PersistedGrantDbContext -o Migrations/IdentityServer/PersistedGrantDb
Add-Migration initConfigurationDb -c ConfigurationDbContext -o Migrations/IdentityServer/ConfigurationDb
注:-c和-o分别是-Context 和-OutputDir 的简写,在参数没有二义性时可以使用简写。
生成的文件:
执行数据库更新命令后,数据库将完成创建:
Update-Database -Context PersistedGrantDbContext
Update-Database -Context ConfigurationDbContext
数据库也就创建好了:
启动程序,并访问https://localhost:55006/.well-known/openid-configuration即可看到以下内容,证明IdentityServer4已经成功启动了:
但是由于数据库中还没有任何数据,所以还无法进行授权操作,因为数据库中还没有任何数据,这里简单的把IdentityServer4模板创建的创建初始数据代码引入,并完成数据创建:
注:关于IdentityServer4的默认数据可通过命令“dotnet new -i IdentityServer4.Templates”先安装IdentityServer4相关模板,然后使用“dotnet new is4ef”命令来创建,具体参考文档:identityserver4.readthedocs.io/en/latest/q…
在启动参数中包含“/seed”时创建数据,关于启动参数,可以直接执行程序时添加,如dotnet .\IdentityServer.dll /seed,或者通过VS中设置调试参数进行调试(数据生成后删除):
配置IdentityServer4证书
运行程序,通过测试数据中的client及其密码尝试获取access token:
啊哦,出错了,未配置签名证书,无法创建Jwt token,简单来说就是为了保证token的签名和验证,需要配置一个数字签名证书,关于证书配置可参考文档:identityserver4.readthedocs.io/en/latest/t…
为了方便,使用开发证书进行测试:
添加代码后再次运行程序,就能够生成Access Token 了:
创建一个基于Jwt身份验证的WebApi项目
最后通过VS新建一个默认的WebApi项目来验证一下是否能够通过access_token访问受保护资源。
在新建的项目中添加基于Jwt bearer的验证服务:
同时添加身份验证中间件:
设置API的授权访问:
获取token后访问受保护API:
成功访问,但是这里有个小细节需要注意一下,就是当获取到access token后,在token的有效期内,哪怕是把IdentityServer关闭,也能使用token正常访问受保护资源,换句话说access token颁发后就与IdentityServer无关了,以上内容实际上是使用Asp.Net core 5.0以及IdentityServer4实现了一个基于客户端证书(Client Credentials)的Oauth2.0授权流程,但IdentityServer提供的内容不仅于此,后续文章将会对该IdentityServer继续完善,使其成为一个功能完善的身份验证服务。
小结
本篇文章从一个空项目开始,不断往里面添加组件和代码,搭建了一个基于IdentityServer4的身份验证服务器,并且到目前为止已经实现了IdentityServer4的相关数据持久化,并且能够通过Client_Credentials等方式获取Access Token,实现了基于Jwt的身份验证,这一切实际上都是基于Oauth2.0协议的,关于Oauth2.0可以参考文章:www.cnblogs.com/selimsong/p…
但IdentityServer4是一个实现OpenIDConnect协议的身份验证/授权服务,更多内容将在后续文章中介绍。
参考:
docs.microsoft.com/en-us/ef/co…
identityserver4.readthedocs.io/en/latest/
